AWS KMS 키링으로 데이터 암호화 AWS KMS 키링으로 데이터 복호화

AWS Encryption SDK for JavaScript 예제

다음 예제에서는 AWS Encryption SDK for JavaScript를 사용하여 데이터를 암호화 및 복호화하는 방법을 보여줍니다.

GitHub의 aws-encryption-sdk-javascript 리포지토리의 example-node 및 example-browser 모듈에서 AWS Encryption SDK for JavaScript를 사용하는 더 많은 예제를 찾을 수 있습니다. 이러한 예제 모듈은 client-browser 또는 client-node 모듈을 설치할 때 설치되지 않습니다.

전체 코드 샘플을 참조: 노드: kms_simple.ts, 브라우저: kms_simple.ts

AWS KMS 키링으로 데이터 암호화

다음 예제에서는 AWS Encryption SDK for JavaScript를 사용하여 짧은 문자열 또는 바이트 배열을 암호화 및 복호화하는 방법을 보여줍니다.

이 예제에서는 AWS KMS key를 사용하여 데이터 키를 생성하고 암호화하는 키링의 일종인 AWS KMS 키링을 살펴봅니다. AWS KMS key 생성에 대한 도움말은 AWS Key Management Service 개발자 가이드의 키 생성을 참조하세요. AWS KMS 키링에서 AWS KMS keys를 식별하는 데 도움이 필요하면 AWS KMS 키링의 AWS KMS keys 식별 섹션을 참조하세요.

1단계: 키링을 구성합니다.

암호화를 위한 AWS KMS 키링을 생성합니다.

AWS KMS 키링으로 암호화하는 경우 생성기 키, 즉 일반 텍스트 데이터 키를 생성하여 암호화하는 데 사용되는 AWS KMS key를 지정해야 합니다. 동일한 일반 텍스트 데이터 키를 암호화하는 0개 이상의 추가 키를 지정할 수도 있습니다. 키링은 일반 텍스트 데이터 키와, 생성기 키를 포함하여 키링에서 각 AWS KMS key의 데이터 키의 암호화된 사본 하나를 반환합니다. 데이터를 복호화하려면 암호화된 데이터 키 중 하나를 복호화해야 합니다.

AWS Encryption SDK for JavaScript에서 암호화 키링에 대해 AWS KMS keys를 지정하려면 지원되는 모든 AWS KMS 키 식별자를 사용할 수 있습니다. 이 예에서는 별칭 ARN으로 식별되는 생성기 키와 키 ARN으로 식별되는 추가 키 하나를 사용합니다.

참고

AWS KMS 키링을 복호화에 재사용하려는 경우 키 ARN을 사용하여 키링에서 AWS KMS keys를 식별해야 합니다.

이 코드를 실행하기 전에 예제 AWS KMS key 식별자를 유효한 식별자로 바꿉니다. 키링에서 AWS KMS keys를 사용하는 데 필요한 권한이 있어야 합니다.

2단계: 암호화 컨텍스트를 설정합니다.

암호화 컨텍스트는 비밀이 아닌 임의의 추가 인증 데이터입니다. 암호화에 암호화 컨텍스트를 제공하면 AWS Encryption SDK는 암호화 컨텍스트를 사이퍼텍스트에 암호화 방식으로 바인딩하여 데이터를 복호화하는 데 동일한 암호화 컨텍스트가 필요하도록 합니다. 암호화 컨텍스트를 사용하는 것은 선택 사항이지만 권장되는 모범 사례입니다.

암호화 컨텍스트 페어를 포함하는 단순 객체를 만듭니다. 각 페어의 키와 값은 문자열이어야 합니다.

3단계: 데이터를 암호화합니다.

일반 텍스트 데이터를 암호화하려면 encrypt 함수를 호출합니다. AWS KMS 키링, 일반 텍스트 데이터 및 암호화 컨텍스트를 전달합니다.

이 encrypt 함수는 암호화된 데이터, 암호화된 데이터 키 및 암호화 컨텍스트 및 서명을 포함한 중요한 메타데이터를 포함하는 암호화된 메시지(result)를 반환합니다.

암호화된 이 메시지는 지원되는 프로그래밍 언어의 AWS Encryption SDK를 사용하여 복호화할 수 있습니다.

AWS KMS 키링으로 데이터 복호화

AWS Encryption SDK for JavaScript를 사용하여 암호화된 메시지의 암호를 복호화하고 원래 데이터를 복구할 수 있습니다.

이 예에서는 AWS KMS 키링으로 데이터 암호화 예제에서 암호화된 데이터를 복호화합니다.

1단계: 키링을 구성합니다.

데이터를 복호화하려면 encrypt 함수가 반환한 암호화된 메시지(result)를 전달하세요. 암호화된 메시지는 암호화된 데이터, 암호화된 데이터 키 및 암호화 컨텍스트 및 서명을 포함한 중요한 메타데이터를 포함합니다.

또한 복호화할 때 AWS KMS 키링을 지정해야 합니다. 데이터를 암호화하는 데 사용된 것과 동일한 키링이나 다른 키링을 사용할 수 있습니다. 성공하려면 복호화 키링 중 하나 이상의 AWS KMS key가 암호화된 메시지의 암호화된 데이터 키 중 하나를 복호화할 수 있어야 합니다. 데이터 키가 생성되지 않으므로 복호화 키링에 생성기 키를 지정할 필요가 없습니다. 이렇게 하면 생성기 키와 추가 키가 같은 방식으로 처리됩니다.

AWS Encryption SDK for JavaScript에서 복호화 키링에 대해 AWS KMS key를 지정하려면 키 ARN을 사용해야 합니다. 그러지 않으면 AWS KMS key가 인식되지 않습니다. AWS KMS 키링에서 AWS KMS keys를 식별하는 데 도움이 필요하면 AWS KMS 키링의 AWS KMS keys 식별 섹션을 참조하세요.

참고

암호화 및 복호화에 동일한 키링을 사용하는 경우 키 ARN을 사용하여 키링에서 AWS KMS keys를 식별합니다.

이 예에서는 암호화 키링에 있는 AWS KMS keys 중 하나만 포함하는 키링을 만듭니다. 이 코드를 실행하기 전에 예제 키 ARN을 유효한 키로 바꿉니다. AWS KMS key에 대한 kms:Decrypt 권한이 있어야 합니다.

2단계: 데이터를 복호화합니다.

그런 다음 decrypt 함수를 호출합니다. 방금 생성한 복호화 키링(keyring)과, encrypt 함수가 반환한 암호화된 메시지(result)를 전달하세요. AWS Encryption SDK에서는 키링을 사용하여 암호화된 데이터 키 중 하나를 복호화합니다. 그런 다음 일반 텍스트 데이터 키를 사용하여 데이터를 복호화합니다.

호출이 성공하면 plaintext 필드에 일반 텍스트(복호화된) 데이터가 포함됩니다. 이 messageHeader 필드에는 데이터 복호화에 사용된 암호화 컨텍스트를 포함하여 복호화 프로세스에 대한 메타데이터가 포함됩니다.

3단계: 암호화 컨텍스트를 확인합니다.

데이터를 복호화하는 데 사용된 암호화 컨텍스트는 decrypt 함수가 반환하는 메시지 헤더(messageHeader)에 포함됩니다. 애플리케이션에서 일반 텍스트 데이터를 반환하기 전에 암호화할 때 제공한 암호화 컨텍스트가 복호화할 때 사용된 암호화 컨텍스트에 포함되어 있는지 확인합니다. 불일치는 데이터가 변조되었거나 올바른 암호화 텍스트를 복호화하지 않았음을 나타낼 수 있습니다.

암호화 컨텍스트를 확인할 때 정확히 일치할 필요는 없습니다. 서명과 함께 암호화 알고리즘을 사용하는 경우 암호화 자료 관리자(CMM)은 메시지를 암호화하기 전에 암호화 컨텍스트에 퍼블릭 서명 키를 추가합니다. 그러나 제출한 모든 암호화 컨텍스트 페어는 반환된 암호화 컨텍스트에 포함되어야 합니다.

먼저 메시지 헤더에서 암호화 컨텍스트를 가져옵니다. 그런 다음 원래 암호화 컨텍스트(context)의 각 키-값 페어가 반환된 암호화 컨텍스트(encryptionContext)의 키-값 페어와 일치하는지 확인합니다.

암호화 컨텍스트 검사가 성공하면 일반 텍스트 데이터를 반환할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

모듈

Python