기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 퍼블릭 키를 사용하여 오프라인 작업 수행
<a name="offline-public-key"></a>

비대칭 KMS 키에서 프라이빗 키는에서 생성 AWS KMS 되며 암호화되지 않은 상태로 두 AWS KMS 지 않습니다. 프라이빗 키를 사용하려면를 호출해야 합니다 AWS KMS. AWS KMS API 작업을 호출 AWS KMS 하여 내에서 퍼블릭 키를 사용할 수 있습니다. 또는 [퍼블릭 키를 다운로드](download-public-key.md)하여 외부에서 사용할 수 있도록 공유할 수 있습니다 AWS KMS.

퍼블릭 키를 공유하여 외부의 다른 사용자가 데이터를 암호화 AWS KMS 하도록 할 수 있습니다.이 경우 프라이빗 키로만 복호화할 수 있습니다. 또는 사용자가 프라이빗 키로 생성한 디지털 서명을 AWS KMS 에서 다른 사용자가 확인하도록 허용할 수 있습니다. 또는 퍼블릭 키를 피어와 공유하여 공유 비밀을 도출할 수 있습니다.

내에서 비대칭 KMS 키에 퍼블릭 키를 사용하면 모든 AWS KMS 작업의 일부인 인증, 권한 부여 및 로깅의 AWS KMS이점을 누릴 수 있습니다. 또한 해독할 수 없는 데이터 암호화의 위험을 줄일 수 있습니다. 이러한 기능은 외부에서는 효과적이지 않습니다 AWS KMS. 자세한 내용은 [퍼블릭 키 다운로드 시 특별 고려 사항](#download-public-key-considerations)을 참조하세요.

**작은 정보**  
데이터 키 또는 SSH 키를 찾고 계십니까? 이 주제에서는 AWS Key Management Service에서 비대칭 키(프라이빗 키를 내보낼 수 없음)를 관리하는 방법에 대해서 설명합니다. 내보낼 수 있는 데이터 키 페어(프라이빗 키가 대칭 암호화 KMS 키로 보호됨)에 대해서는 [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) 섹션을 참조하세요. Amazon EC2 인스턴스와 연결된 퍼블릭 키 다운로드에 대한 도움말은 [Amazon EC2 Linux 인스턴스용 사용 설명서](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/describe-keys.html#retrieving-the-public-key)의 *퍼블릭 키 검색*과 [Amazon EC2 Windows 인스턴스용 사용 설명서](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/describe-keys.html#retrieving-the-public-key)을 참조하세요.

**Topics**
+ [퍼블릭 키 다운로드 시 특별 고려 사항](#download-public-key-considerations)
+ [퍼블릭 키 다운로드](download-public-key.md)
+ [예제 오프라인 작업](offline-operations.md)

## 퍼블릭 키 다운로드 시 특별 고려 사항
<a name="download-public-key-considerations"></a>

KMS 키를 보호하기 위해는 모든 작업에 대한 액세스 제어, 인증된 암호화 및 세부 로그를 AWS KMS 제공합니다. AWS KMS 또한를 사용하면 KMS 키 사용을 일시적으로 또는 영구적으로 방지할 수 있습니다. 마지막으로 AWS KMS 작업은 복호화할 수 없는 데이터 암호화 위험을 최소화하도록 설계되었습니다. 외부에서 다운로드한 퍼블릭 키를 사용하는 경우에는 이러한 기능을 사용할 수 없습니다 AWS KMS.

**권한 부여**  
내에서 KMS [키에 대한 액세스를 제어하는 키 정책](key-policies.md) 및 [IAM 정책은](iam-policies.md) 외부에서 수행되는 작업에 영향을 미치지 AWS KMS 않습니다 AWS. 퍼블릭 키를 가져올 수 있는 사용자는 KMS 키를 사용하여 데이터를 암호화하거나 서명을 확인할 권한이 없 AWS KMS 더라도 외부에서 사용할 수 있습니다.

**키 사용 제한 사항**  
키 사용 제한은 외부에서는 적용되지 않습니다 AWS KMS. 가 `KeyUsage` 인 KMS 키를 사용하여 [암호화](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 작업을 호출하면 AWS KMS 작업이 실패`SIGN_VERIFY`합니다. 그러나 `SIGN_VERIFY` 또는의 KMS 키에서 퍼블릭 키를 AWS KMS 사용하여 외부`KeyUsage`의 데이터를 암호화하는 경우 `KEY_AGREEMENT`데이터를 해독할 수 없습니다.

**알고리즘 제한 사항**  
가 AWS KMS 지원하는 암호화 및 서명 알고리즘에 대한 제한은 외부에서는 유효하지 않습니다 AWS KMS. 외부의 KMS 키에서 퍼블릭 키로 데이터를 암호화하고 AWS KMS가 지원하지 AWS KMS 않는 암호화 알고리즘을 사용하는 경우 데이터를 해독할 수 없습니다.

**KMS 키 비활성화 및 삭제**  
내 암호화 작업에서 KMS 키를 사용하지 않도록 하기 위해 취할 수 있는 조치는 외부에서 퍼블릭 키를 사용하는 것을 금지하지 AWS KMS 않습니다 AWS KMS. 예를 들어 KMS 키를 비활성화하거나, KMS 키 삭제를 예약하거나, KMS 키를 삭제하거나, KMS 키에서 키 구성 요소를 삭제해도 AWS KMS외부의 퍼블릭 키에는 영향을 주지 않습니다. 비대칭 KMS 키를 삭제하거나 키 구성 요소를 삭제하거나 분실하면 외부의 퍼블릭 키로 암호화하는 데이터를 복구할 수 AWS KMS 없습니다.

**로깅**  
AWS CloudTrail 요청, 응답, 날짜, 시간 및 권한 있는 사용자를 포함하여 모든 AWS KMS 작업을 기록하는 로그는 외부의 퍼블릭 키 사용을 기록하지 않습니다 AWS KMS.

**SM2 키 페어를 사용한 오프라인 인증(중국 리전 전용)**  
SM2 퍼블릭 키를 AWS KMS 사용하여 외부의 서명을 확인하려면 구분 ID를 지정해야 합니다. 기본적으로는를 구분 ID`1234567812345678`로 AWS KMS 사용합니다. 자세한 내용은 [SM2 키 페어를 사용한 오프라인 인증(중국 리전 전용)](offline-operations.md#key-spec-sm-offline-verification)을 참조하세요.