애플리케이션에서 별칭 사용 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

애플리케이션에서 별칭 사용

별칭을 사용하여 애플리케이션 코드에서 KMS 키를 나타낼 수 있습니다. AWS KMS암호화 작업의 KeyId 매개변수이며 DescribeKey, 별칭 이름 또는 별칭 ARN을 GetPublicKey허용합니다.

예를 들어 다음 GenerateDataKey 명령은 별칭 이름(alias/finance)를 사용하여 KMS 키를 식별합니다. 별칭 이름은 KeyId 파라미터 값입니다.

$ aws kms generate-data-key --key-id alias/finance --key-spec AES_256

KMS 키가 다른 AWS 계정에 있는 경우 이러한 작업에서 키 ARN 또는 별칭 ARN을 사용해야 합니다. 별칭 ARN 사용하는 경우 KMS 키의 별칭은 KMS 키를 소유하는 계정에 정의되어 있으며 리전마다 다를 수 있습니다. 별칭 ARN을 찾는 방법에 대한 도움말은 별칭 이름 및 별칭 ARN 찾기 섹션을 참조하세요.

예를 들어 다음 GenerateDataKey 명령은 호출자의 계정에 없는 KMS 키를 사용합니다. ExampleAlias 별칭은 지정된 계정 및 리전의 KMS 키와 연결되어 있습니다.

$ aws kms generate-data-key --key-id arn:aws:kms:us-west-2:444455556666:alias/ExampleAlias --key-spec AES_256

별칭의 가장 강력한 용도 중 하나는 여러 AWS 리전에서 실행되는 애플리케이션에서 사용하는 것입니다. 예를 들어 서명 및 확인을 위해 RSA 비대칭 KMS 키를 사용하는 글로벌 애플리케이션이 있을 수 있습니다.

  • 미국 서부(오레곤)(us-west-2)에서는 arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab를 사용하려고 합니다.

  • 유럽(프랑크푸르트)(eu-central-1)에서는 arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321을 사용하려고 합니다.

  • 아시아 태평양(싱가포르)(ap-southeast-1)에서는 arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d를 사용하려고 합니다.

각 리전에서 다른 버전의 애플리케이션을 만들거나 사전 또는 switch 문을 사용하여 각 리전에 적합한 KMS 키를 선택할 수 있습니다. 그러나 각 리전에 동일한 별칭 이름으로 별칭을 만드는 것이 훨씬 쉽습니다. 별칭 이름은 대/소문자를 구분합니다.

aws --region us-west-2 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

aws --region eu-central-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:eu-central-1:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321

aws --region ap-southeast-1 kms create-alias \
    --alias-name alias/new-app \
    --key-id arn:aws:kms:ap-southeast-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

그런 다음 코드에서 별칭을 사용합니다. 각 리전에서 코드가 실행되는 경우 별칭은 해당 리전의 연결된 KMS 키를 참조합니다. 예를 들어, 이 코드는 별칭 이름으로 Sign 작업을 호출합니다.

aws kms sign --key-id alias/new-app \
    --message $message \
    --message-type RAW \
    --signing-algorithm RSASSA_PSS_SHA_384

그러나 별칭이 삭제되거나 다른 KMS 키와 연결되도록 업데이트될 위험이 있습니다. 이 경우 애플리케이션에서 별칭 이름을 사용하여 서명을 확인하려는 시도가 실패하므로 별칭을 다시 만들거나 업데이트해야 할 수 있습니다.

이 위험을 완화하려면 보안 주체에 애플리케이션에서 사용하는 별칭을 관리할 수 있는 권한을 부여할 때 주의하세요. 자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하세요.

AWS Encryption SDK를 비롯해 애플리케이션에서 여러 AWS 리전의 데이터를 암호화하는 몇 가지 다른 솔루션이 있습니다.