CloudHSM 키 저장소의 KMS 키

AWS CloudHSM 키 스토어에서 AWS KMS keys의 생성, 보기, 관리, 사용 및 삭제 예약이 가능합니다. 사용하는 절차는 다른 KMS 키에 사용하는 절차와 매우 비슷합니다. 유일한 차이라면 KMS 키를 생성할 때 AWS CloudHSM 키 스토어를 지정한다는 점입니다. 이제 AWS KMS는 AWS CloudHSM 키 스토어에 연결된 AWS CloudHSM 클러스터에서 추출할 수 없는 KMS 키용 키 구성 요소를 생성합니다. AWS CloudHSM 키 스토어에서 KMS 키를 사용할 때 클러스터의 HSM에서 암호화 작업이 수행됩니다.

지원되는 기능

이 섹션에서 설명한 절차 외에도 AWS CloudHSM 키 스토어에서 KMS 키를 통해 다음을 수행할 수 있습니다.

키 정책, IAM 정책 및 권한 부여를 사용해 KMS 키에 대한 액세스 권한을 부여합니다.
KMS 키를 사용하거나 사용하지 않도록 설정합니다.
태그를 할당하고 별칭을 생성하고 ABAC(속성 기반 액세스 제어)를 사용하여 KMS 키에 대한 액세스 권한을 부여합니다.
KMS 키를 이용하여 다음 암호화 작업을 수행합니다.
비대칭 데이터 키 페어를 생성하는 작업인 GenerateDataKeyPair 및 GenerateDataKeyPairWithoutPlaintext는 사용자 지정 키 스토어에서 지원되지 않습니다.
고객 관리형 KMS 키를 지원하고 AWS KMS에 통합되는 AWS 서비스와 함께 KMS 키를 사용합니다.
AWS CloudTrail 로그와 Amazon CloudWatch 모니터링 도구에서 KMS 키 사용을 추적합니다.

지원되지 않는 기능

AWS CloudHSM 키 스토어는 대칭 암호화 KMS 키만 지원합니다. AWS CloudHSM 키 스토어에서 HMAC KMS 키, 비대칭 KMS 키 또는 비대칭 데이터 키 페어를 생성할 수 없습니다.
AWS CloudHSM 키 스토어의 KMS 키로 키 구성 요소 가져오기를 수행할 수 없습니다. AWS KMS는 AWS CloudHSM 클러스터에서 KMS 키에 대한 키 구성 요소를 생성합니다.
AWS CloudHSM 키 스토어에서 KMS 키에 대한 키 구성 요소의 자동 교체를 활성화하거나 비활성화할 수 없습니다.

AWS CloudHSM 키 저장소에서 KMS 키 사용

요청에서 KMS 키를 사용하는 경우 ID 또는 별칭으로 KMS 키를 식별합니다. AWS CloudHSM 키 스토어나 AWS CloudHSM 클러스터를 지정할 필요가 없습니다. 응답에는 모든 비대칭 암호화 KMS 키에서 반환된 동일한 필드가 포함되어 있습니다.

그러나 AWS CloudHSM 키 스토어에서 KMS 키를 사용하는 경우 암호화 작업은 AWS CloudHSM 키 스토어와 연결된 AWS CloudHSM 클러스터 내에서 완전히 수행됩니다. 이 작업에서는 사용자가 선택한 KMS 키와 연결된 클러스터의 키 구성 요소를 사용합니다.

이것이 가능하려면 다음 조건이 충족되어야 합니다.

KMS 키의 키 상태가 Enabled여야 합니다. 키 상태를 찾으려면 AWS KMS 콘솔의 Status(상태) 필드 또는 DescribeKey 응답의 KeyState 필드를 사용합니다.
AWS CloudHSM 키 스토어는 AWS CloudHSM 클러스터에 연결되어 있어야 합니다. AWS KMS 콘솔의 Status(상태) 또는 DescribeCustomKeyStores 응답의 ConnectionState는 CONNECTED여야 합니다.
사용자 지정 키 스토어에 연결된 AWS CloudHSM 클러스터는 최소 하나의 활성 HSM을 포함해야 합니다. 클러스터에서 활성 HSM의 수를 찾으려면 AWS KMS 콘솔, AWS CloudHSM 콘솔 또는 DescribeClusters 작업을 사용합니다.
AWS CloudHSM 클러스터는 KMS 키의 키 구성 요소를 포함해야 합니다. 클러스터에서 키 구성 요소가 삭제된 경우나 키 구성 요소를 포함하지 않은 백업에서 HSM이 생성된 경우에는 암호화 작업이 실패합니다.

이러한 조건들이 충족되지 않으면 암호화 작업이 실패하고 AWS KMS가 KMSInvalidStateException 예외를 반환합니다. 일반적으로 AWS CloudHSM 키 스토어를 재연결하기만 하면 됩니다. 추가적인 도움말은 오류가 발생하는 KMS 키를 수정하는 방법 섹션을 참조하십시오.

AWS CloudHSM 키 스토어에서 KMS 키를 사용할 때는 각 AWS CloudHSM 키 스토어의 KMS 키가 암호화 작업에 대해 사용자 지정 키 스토어 요청 할당량을 공유한다는 점에 유의하세요. 할당량을 초과하는 경우 AWS KMS는 ThrottlingException을 반환합니다. AWS CloudHSM 키 스토어에 연결된 AWS CloudHSM 클러스터가 해당 AWS CloudHSM 키 스토어와 관련되지 않은 명령을 포함해 다수의 명령을 처리 중인 경우에는 낮은 속도에서 ThrottlingException을 가져올 수 있습니다. 어떤 요청에 대해 ThrottlingException이 반환된 경우에는 요청 속도를 낮추고 명령을 다시 시도하십시오. 사용자 지정 키 스토어 요청 할당량에 대한 자세한 내용은 사용자 지정 키 스토어 요청 할당량 섹션을 참조하세요.

자세히 알아보기

AWS CloudHSM 키 저장소에 대해 자세히 알아보려면 AWS CloudHSM 키 스토어 단원을 참조하세요.
AWS CloudHSM 키 저장소에서 KMS 키를 생성하려면 AWS CloudHSM 키 저장소에서 KMS 키 생성 단원을 참조하세요.
AWS CloudHSM 키 저장소에서 KMS 키를 확인하려면 AWS CloudHSM 키 저장소에서 KMS 키 식별 단원을 참조하세요.
AWS CloudHSM 키 저장소에서 KMS 키 및 키 구성 요소를 찾으려면 KMS 키 스토어에서 키 및 AWS CloudHSM 키 구성 요소 찾기 단원을 참조하세요.
AWS CloudHSM 키 저장소에서 KMS 키를 삭제하기 위한 특별한 고려 사항에 대해 알아보려면 AWS CloudHSM 키 저장소에서 KMS 키 삭제를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

가져온 키 구성 요소 보호

외부 키 저장소의 KMS 키