외부 키 저장소 프록시 연결 옵션 선택 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

외부 키 저장소 프록시 연결 옵션 선택

외부 키 스토어를 생성하기 전에 AWS KMS가 외부 키 스토어 구성 요소와 통신하는 방법을 결정하는 연결 옵션을 선택합니다. 선택한 연결 옵션에 따라 나머지 계획 프로세스가 결정됩니다.

외부 키 스토어를 생성하는 경우 AWS KMS가 외부 키 스토어 프록시와 통신하는 방법을 결정해야 합니다. 이 선택에 따라 필요한 구성 요소와 구성 방법이 결정됩니다. AWS KMS는 다음 연결 옵션을 지원합니다. 성능과 보안 목표에 맞는 옵션을 선택합니다.

시작하기 전에 외부 키 스토어가 필요한지 확인합니다. 대부분의 고객은 AWS KMS 키 구성 요소에서 지원하는 KMS 키를 사용할 수 있습니다.

참고

외부 키 스토어 프록시가 외부 키 관리자에 내장된 경우 연결이 미리 결정될 수 있습니다. 지침은 외부 키 관리자 또는 외부 키 스토어 프록시의 설명서를 참조하세요.

작동 중인 외부 키 스토어에서도 외부 키 스토어 프록시 연결 옵션을 변경할 수 있습니다. 그러나 중단을 최소화하고 오류를 방지하고 데이터를 암호화하는 암호화 키에 지속적으로 액세스할 수 있도록 프로세스를 신중하게 계획하고 실행해야 합니다.

퍼블릭 엔드포인트 연결

AWS KMS는 퍼블릭 엔드포인트를 사용하여 인터넷을 통해 외부 키 스토어 프록시(XKS 프록시)에 연결합니다.

이 연결 옵션은 설정 및 유지 관리가 더 쉽고 일부 키 관리 모델과 잘 맞습니다. 그러나 일부 조직의 보안 요구 사항을 충족하지 못할 수 있습니다.

퍼블릭 엔드포인트 연결

요구 사항

퍼블릭 엔드포인트 연결을 선택하는 경우 다음이 필요합니다.

  • 외부 키 스토어 프록시는 공개적으로 라우팅 가능한 엔드포인트에서 연결할 수 있어야 합니다.

  • 서로 다른 프록시 URI 경로 값을 사용하는 경우 여러 외부 키 스토어에 동일한 퍼블릭 엔드포인트를 사용할 수 있습니다.

  • 키 스토어가 서로 다른 AWS 계정에 있더라도 동일한 AWS 리전에서 퍼블릭 엔드포인트 연결이 있는 외부 키 스토어와 VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어에 동일한 엔드포인트를 사용할 수 없습니다.

  • 외부 키 스토어에 대해 지원되는 공인 인증 기관에서 발급한 TLS 인증서를 받아야 합니다. 목록은 신뢰할 수 있는 인증 기관을 참조하세요.

    TLS 인증서의 주체 일반 이름(CN)은 외부 키 스토어 프록시에 대한 프록시 URI 엔드포인트의 도메인 이름과 일치해야 합니다. 예를 들어 퍼블릭 엔드포인트가 https://myproxy.xks.example.com인 경우 TLS, TLS 인증서의 CN은 myproxy.xks.example.com 또는 *.xks.example.com이어야 합니다.

  • AWS KMS와 외부 키 스토어 프록시 사이의 모든 방화벽이 프록시의 포트 443에서 들어오고 나가는 트래픽을 허용하는지 확인합니다. AWS KMS는 포트 443에서 통신합니다. 이 값은 구성할 수 없습니다.

외부 키 스토어의 모든 요구 사항은 사전 조건 수집을 참조하세요.

VPC 엔드포인트 서비스 연결

AWS KMS는 생성하고 구성하는 Amazon VPC 엔드포인트 서비스에 대한 인터페이스 엔드포인트를 생성하여 외부 키 스토어 프록시(XKS 프록시)에 연결합니다. VPC 엔드포인트 서비스를 생성하고 VPC를 외부 키 관리자에 연결하는 것은 사용자의 책임입니다.

엔드포인트 서비스는 AWS Direct Connect를 포함하여 지원되는 네트워크와 Amazon VPC 간 옵션을 사용할 수 있습니다.

이 연결 옵션은 설정 및 유지 관리가 더 복잡합니다. 그러나 이 연결 옵션은 AWS KMS가 퍼블릭 인터넷을 사용하지 않고 Amazon VPC와 외부 키 스토어 프록시에 비공개로 연결할 수 있게 하는 AWS PrivateLink를 사용합니다.

Amazon VPC에서 외부 키 스토어 프록시를 찾을 수 있습니다.

VPC 엔드포인트 서비스 연결 - VPC의 XKS 프록시

또는 AWS 외부에서 외부 키 스토어 프록시를 찾고 AWS KMS와의 보안 통신을 위해서만 Amazon VPC 엔드포인트 서비스를 사용합니다.

VPC 엔드포인트 서비스 연결 - AWS 외부의 XKS 프록시

자세히 알아보기:

  • 사전 요구 사항 취합을 포함하여 외부 키 스토어 생성 프로세스를 검토합니다. 이를 통해 외부 키 스토어를 생성할 때 필요한 모든 구성 요소가 있는지 확인할 수 있습니다.

  • 외부 키 스토어 관리자 및 사용자에게 필요한 권한을 포함하여 외부 키 스토어에 대한 액세스를 제어하는 방법을 알아봅니다.

  • AWS KMS가 외부 키 스토어에 대해 기록하는 Amazon CloudWatch 지표 및 차원에 대해 알아봅니다. 성능 및 운영 문제의 초기 징후를 감지할 수 있도록 외부 키 스토어를 모니터링하는 경보를 생성하는 것이 좋습니다.