기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다중 리전 키의 복제 프로세스
AWS KMS에서는 리전 간 복제 메커니즘을 사용하여 한 AWS 리전의 HSM에서 다른 AWS 리전의 HSM으로 KMS 키의 키 구성 요소를 복사합니다. 이 메커니즘이 작동하려면 복제하는 KMS 키가 다중 리전 키여야 합니다. 한 리전에서 다른 리전으로 KMS 키를 복제할 때 리전의 HSM은 격리된 네트워크에 있으므로 직접 통신할 수 없습니다. 대신 리전 간 복제 중에 교환된 메시지가 프록시 서비스를 통해 전달됩니다.
리전 간 복제 중에 AWS KMS HSM에서 생성되는 모든 메시지는 복제 서명 키를 사용하여 암호로 서명됩니다. RSK(복제 서명 키)는 NIST P-384 곡선의 ECDSA 키입니다. 모든 리전은 하나 이상의 RSK를 소유하며, 각 RSK의 퍼블릭 구성 요소는 동일한 AWS 파티션의 다른 모든 리전과 공유됩니다.
리전 A에서 리전 B로 주요 구성 요소를 복사하는 리전 간 복제 프로세스는 다음과 같이 작동합니다.
-
리전 B의 HSM은 NIST P-384 곡선의 임시 ECDH 키인 RAKB(Replication Agreement Key B)를 생성합니다. RAKB의 퍼블릭 구성 요소는 프록시 서비스를 통해 리전 A의 HSM으로 전송됩니다.
-
리전 A의 HSM은 RAKB의 퍼블릭 구성 요소를 수신한 다음 NIST P-384 곡선의 다른 임시 ECDH 키인 RAKA(Replication Agreement Key A)를 생성합니다. HSM은 RAKA 및 RAKB의 퍼블릭 구성 요소에 ECDH 키 설정 체계를 실행하고 출력에서 대칭 키 RWK(Replication Wrapping Key)를 파생합니다. RWK는 복제되는 다중 리전 KMS 키의 키 구성 요소를 암호화하는 데 사용됩니다.
-
RAKA의 퍼블릭 구성 요소와 RWK로 암호화된 키 구성 요소는 프록시 서비스를 통해 리전 B의 HSM으로 전송됩니다.
-
리전 B의 HSM은 RAKA의 퍼블릭 구성 요소와 RWK를 사용하여 암호화된 키 구성 요소를 수신합니다. HSM은 RAKB와 RAKA의 퍼블릭 구성 요소에 대해 ECDH 키 설정 체계를 실행하여 RWK를 파생합니다.
-
리전 B의 HSM은 RWK를 사용하여 리전 A의 키 구성 요소를 복호화합니다.
