CloudHSM 키 저장소의 KMS 키

AWS CloudHSM 키 스토어 AWS KMS keys 에서의 삭제를 생성, 보기, 관리, 사용 및 예약할 수 있습니다. 사용하는 절차는 다른 KMS 키에 사용하는 절차와 매우 비슷합니다. 유일한 차이점은 KMS AWS CloudHSM 키를 생성할 때 키 스토어를 지정한다는 것입니다. 그런 다음 키 스토어와 연결된 클러스터의 KMS 키에 AWS CloudHSM 대해 추출할 수 없는 AWS CloudHSM 키 구성 요소를 AWS KMS 생성합니다. AWS CloudHSM 키 스토어에서 KMS 키를 사용하면 암호화 작업이 클러스터의 HSMs에서 수행됩니다.

지원 기능

이 단원에서 설명하는 절차 외에도 AWS CloudHSM 키 스토어에서 KMS 키를 사용하여 다음을 수행할 수 있습니다.

키 정책, IAM 정책 및 권한 부여를 사용해 KMS 키에 대한 액세스 권한을 부여합니다.
KMS 키를 사용하거나 사용하지 않도록 설정합니다.
태그를 할당하고 별칭을 생성하고 ABAC(속성 기반 액세스 제어)를 사용하여 KMS 키에 대한 액세스 권한을 부여합니다.
KMS 키를 이용하여 다음 암호화 작업을 수행합니다.
비대칭 데이터 키 페어를 생성하는 작업인 GenerateDataKeyPair 및 GenerateDataKeyPairWithoutPlaintext는 사용자 지정 키 스토어에서 지원되지 않습니다.
고객 관리형 KMS 키를 지원하고 AWS KMS에 통합되는AWS 서비스와 함께 KMS 키를 사용합니다.
AWS CloudTrail 로그와 Amazon CloudWatch 모니터링 도구에서 KMS 키 사용을 추적합니다.

지원되지 않는 기능

AWS CloudHSM 키 스토어는 대칭 암호화 KMS 키만 지원합니다. AWS CloudHSM 키 스토어에서는 HMAC KMS 키, 비대칭 KMS 키 또는 비대칭 데이터 키 페어를 생성할 수 없습니다.
키 스토어의 KMS 키로 키 구성 요소를 가져올 수 AWS CloudHSM 없습니다.는 클러스터의 KMS 키에 대한 키 구성 요소를 AWS KMS 생성합니다. AWS CloudHSM
키 스토어에서 KMS 키에 대한 AWS CloudHSM 키 구성 요소의 자동 교체를 활성화하거나 비활성화할 수 없습니다.

키 스토어에서 KMS AWS CloudHSM 키 사용

요청에 KMS 키를 사용하는 경우 ID 또는 별칭으로 KMS 키를 식별합니다. AWS CloudHSM 키 스토어 또는 AWS CloudHSM 클러스터를 지정할 필요가 없습니다. 응답에는 모든 비대칭 암호화 KMS 키에서 반환된 동일한 필드가 포함되어 있습니다.

그러나 AWS CloudHSM 키 스토어에서 KMS 키를 사용하면 AWS CloudHSM 키 스토어와 연결된 AWS CloudHSM 클러스터 내에서 암호화 작업이 완전히 수행됩니다. 이 작업에서는 사용자가 선택한 KMS 키와 연결된 클러스터의 키 구성 요소를 사용합니다.

이것이 가능하려면 다음 조건이 충족되어야 합니다.

KMS 키의 키 상태가 Enabled여야 합니다. 키 상태를 찾으려면 AWS KMS 콘솔의 Status(상태) 필드 또는 DescribeKey 응답의 KeyState 필드를 사용합니다.
AWS CloudHSM 키 스토어는 AWS CloudHSM 클러스터에 연결되어야 합니다. AWS KMS 콘솔의 Status(상태) 또는 DescribeCustomKeyStores 응답의 ConnectionState는 CONNECTED여야 합니다.
사용자 지정 키 스토어와 연결된 AWS CloudHSM 클러스터에는 하나 이상의 활성 HSM이 포함되어야 합니다. 클러스터에서 활성 HSMs 수를 찾으려면 AWS KMS 콘솔, AWS CloudHSM 콘솔 또는 DescribeClusters 작업을 사용합니다.
AWS CloudHSM 클러스터에는 KMS 키의 키 구성 요소가 포함되어야 합니다. 클러스터에서 키 구성 요소가 삭제된 경우나 키 구성 요소를 포함하지 않은 백업에서 HSM이 생성된 경우에는 암호화 작업이 실패합니다.

이러한 조건이 충족되지 않으면 암호화 작업이 실패하고 KMSInvalidStateException 예외가 AWS KMS 반환됩니다. 일반적으로 AWS CloudHSM 키 스토어를 다시 연결하기만 하면 됩니다. 추가적인 도움말은 오류가 발생하는 KMS 키를 수정하는 방법 섹션을 참조하십시오.

AWS CloudHSM 키 스토어에서 KMS 키를 사용할 때는 각 AWS CloudHSM 키 스토어의 KMS 키가 암호화 작업에 대한 사용자 지정 키 스토어 요청 할당량을 공유한다는 점에 유의하세요. 할당량을 초과하면가를 AWS KMS 반환합니다ThrottlingException. AWS CloudHSM 키 스토어와 연결된 AWS CloudHSM 클러스터가 키 스토어와 관련이 없는 명령을 포함하여 많은 명령을 처리하는 경우 훨씬 더 낮은 속도로 ThrottlingException를 얻을 AWS CloudHSM 수 있습니다. 어떤 요청에 대해 ThrottlingException이 반환된 경우에는 요청 속도를 낮추고 명령을 다시 시도하십시오. 사용자 지정 키 스토어 요청 할당량에 대한 자세한 내용은 사용자 지정 키 스토어 요청 할당량 섹션을 참조하세요.

자세히 알아보기

AWS CloudHSM 키 스토어에 대한 자세한 내용은 섹션을 참조하세요AWS CloudHSM 키 스토어.
키 스토어에서 KMS AWS CloudHSM 키를 생성하려면 섹션을 참조하세요키 스토어에서 KMS AWS CloudHSM 키 생성.
키 스토어에서 KMS AWS CloudHSM 키를 식별하고 보려면 섹션을 참조하세요키 스토어에서 KMS AWS CloudHSM 키 식별.
키 스토어에서 KMS 키와 AWS CloudHSM 키 구성 요소를 찾으려면 섹션을 참조하세요키 스토어에서 KMS 키 및 AWS CloudHSM 키 구성 요소 찾기.
AWS CloudHSM 키 스토어에서 KMS 키를 삭제하기 위한 특별 고려 사항에 대해 알아보려면 AWS CloudHSM 키 스토어에서 KMS 키 삭제를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

가져온 키 구성 요소 보호

외부 키 저장소의 KMS 키