암호화 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

암호화

의 기본 함수 AWS KMS 는 KMS 키로 객체를 암호화하는 것입니다. 설계상, AWS KMS 는 HSM에서 대기 시간이 짧은 암호화 작업을 제공합니다. 따라서 암호화 함수에 대한 직접 호출로 암호화할 수 있는 일반 텍스트의 양은 4KB로 제한됩니다. 는 더 큰 메시지를 암호화하는 데 사용할 AWS Encryption SDK 수 있습니다. 명령을 인증한 AWS KMS후는 KMS 키와 관련된 현재 활성 EKT를 획득합니다. EKT를 일반 텍스트 및 암호화 컨텍스트와 함께 해당 리전에서 사용 가능한 모든 HSM에 전달합니다. 이는 AWS KMS 호스트와 도메인의 HSM 간에 인증된 세션을 통해 전송됩니다.

HSM은 다음을 실행합니다.

  1. EKT를 복호화하여 HBK = Decrypt(DKi, EKT)를 가져옵니다.

  2. 임의의 임시 N을 생성합니다.

  3. HBKN에서 256비트 AES-GCM 파생 암호화 키 K를 파생합니다.

  4. 일반 텍스트 ciphertext = Encrypt(K, context, plaintext)를 암호화합니다.

사이퍼텍스트 값은 사용자에게 반환되며, 일반 텍스트 데이터나 사이퍼텍스트는 AWS 인프라의 어느 곳에도 보관되지 않습니다. KMS 키를 사용하기 위한 암호화 텍스트, 암호화 컨텍스트 및 권한 부여를 소유한 경우가 아니면, 기본 일반 텍스트가 반환되지 않습니다.