AWS KMS keys - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS keys

자체 암호화 애플리케이션에서 사용하기 위해 생성하고 관리하는 KMS 키는 고객 관리형 키라고 하는 유형입니다. 고객 관리형 키는 KMS 키를 사용하여 AWS 서비스가 사용자를 대신하여 저장하는 데이터를 암호화하는 서비스와 함께 사용할 수도 있습니다. 고객 관리형 키는 해당 키의 수명 주기와 사용을 완전히 제어하려는 고객에게 권장됩니다. 계정에 고객 관리형 키를 보유하는 데는 월별 비용이 발생합니다. 또한 요청 사용 및/또는 키 관리에는 사용 비용이 발생합니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

고객이 AWS 서비스가 데이터를 암호화하기를 원하지만 키 관리 오버헤드를 원하지 않고 키에 대한 비용을 지불하고 싶지 않은 경우가 있습니다. AWS 관리형 키는 계정에 존재하지만 특정 상황에서만 사용할 수 있는 KMS 키입니다. 특히 운영 중인 AWS 서비스의 컨텍스트에서만 사용할 수 있으며 키가 있는 계정 내의 보안 주체만 사용할 수 있습니다. 이러한 키의 수명 주기 또는 권한은 관리할 수 없습니다. AWS 서비스에서 암호화 기능을 사용하면 'aws<service code>' 형식의 별칭을 사용할 수 AWS 관리형 키있습니다. 예를 들어 aws/ebs 키는 EBS 볼륨을 암호화하는 데만 사용할 수 있으며 키와 동일한 계정의 IAM 위탁자가 사용하는 볼륨에만 사용할 수 있습니다. 계정의 사용자만 계정의 리소스에 사용할 수 AWS 관리형 키 있도록 범위가 축소된를 생각해 보세요. 에서 암호화된 리소스를 다른 계정 AWS 관리형 키 과 공유할 수 없습니다. 계정에 AWS 관리형 키 가 무료로 존재하지만 키에 할당된 AWS 서비스에서이 키 유형을 사용하는 경우 요금이 부과됩니다.

AWS 관리형 키 는 2021년부터 새 AWS 서비스에 대해 더 이상 생성되지 않는 레거시 키 유형입니다. 대신 새로운 (및 레거시) AWS 서비스는 기본적으로 라고 하는를 사용하여 고객 데이터를 암호화AWS 소유 키합니다. AWS 소유 키 는 AWS 서비스에서 관리하는 계정에 있는 KMS 키이므로 서비스 운영자는 수명 주기 및 사용 권한을 관리할 수 있습니다. 를 사용하면 AWS 소유 키 AWS 서비스가 데이터를 투명하게 암호화하고 키 권한에 대해 걱정할 필요 없이 쉽게 크로스 계정 또는 리전 간 데이터 공유를 허용할 수 있습니다. 더 쉽고, 더 자동화된 데이터 보호를 제공하는 기본 암호화 워크로드에 AWS 소유 키 를 사용합니다. 이러한 키는에서 소유 및 관리하므로 해당 키의 존재 또는 사용에 대한 요금이 부과 AWS되지 않으며, 정책을 변경할 수 없고, 이러한 키에 대한 활동을 감사할 수 없으며, 삭제할 수 없습니다. 제어가 중요한 경우 고객 관리형 키를 사용하고 편의성이 가장 중요한 경우 AWS 소유 키 를 사용합니다.

고객 관리형 키 AWS 관리형 키 AWS 소유 키
키 정책 고객이 독점적으로 제어 서비스에서 제어, 고객이 볼 수 있음 데이터를 암호화하는 AWS 서비스에서만 독점적으로 제어되고 볼 수 있음
로깅 CloudTrail 고객 추적 또는 이벤트 데이터 저장소 CloudTrail 고객 추적 또는 이벤트 데이터 저장소 고객이 볼 수 없음
수명 주기 관리 고객이 교체, 삭제 및 리전 위치 관리 AWS KMS 교체(연간), 삭제 및 리전 위치 관리 AWS 서비스 교체, 삭제 및 리전 위치 관리
요금

키 존재에 대한 월별 요금(시간당

비례 배분). 키 사용에 대해서도 요금이 부과됨

월별 수수료는 없지만 호출자에게 이러한 키의 API 사용에 대한 요금이 부과됨 고객에게 부과되는 요금 없음

사용자가 생성하는 KMS 키는 고객 관리형 키입니다. KMS 키를 사용하여 서비스 리소스를 암호화하는 AWS 서비스 는 종종 사용자를 위해 키를 만듭니다. AWS 계정에서를 AWS 서비스 생성하는 KMS 키는 입니다AWS 관리형 키. 서비스 계정에서를 AWS 서비스 생성하는 KMS 키는 입니다AWS 소유 키.

KMS 키의 유형 KMS 키 메타데이터 보기 가능 KMS 키 관리 가능 내 에만 사용됨 AWS 계정 자동 회전 요금
고객 관리형 키 선택 사항.

월 요금(시간당 비례 배분)

사용량 기준 요금

AWS 관리형 키 아니요 필수 사항입니다. 매년(약 365일)

월 요금 없음

사용당 요금(일부는이 요금을 AWS 서비스 지불)

AWS 소유 키 아니요 아니요 아니요 는 교체 전략을 AWS 서비스 관리합니다. 요금 없음

AWS 와 통합되는 서비스는 AWS KMS KMS 키에 대한 지원이 다릅니다. 일부 AWS 서비스는 기본적으로 AWS 소유 키 또는를 사용하여 데이터를 암호화합니다 AWS 관리형 키. 일부 AWS 서비스는 고객 관리형 키를 지원합니다. 다른 AWS 서비스는 모든 유형의 KMS 키를 지원하여의 용이성 AWS 소유 키,의 가시성 AWS 관리형 키또는 고객 관리형 키의 제어를 허용합니다. AWS 서비스가 제공하는 암호화 옵션에 대한 자세한 내용은 사용 설명서의 저장 시 암호화 주제 또는 서비스의 개발자 안내서를 참조하세요.

고객 관리형 키

사용자가 생성하는 KMS 키는 고객 관리형 키입니다. 고객 관리형 키는 사용자가 생성, 소유 및 관리하는의 KMS 키 AWS 계정 입니다. 사용자는 키 정책, IAM 정책 및 권한 부여의 설정 및 유지 관리, 활성화 및 비활성화, 암호화 구성 요소 교체, 태그 추가, KMS 키를 가리키는 별칭 생성, KMS 키 삭제 예약 등을 포함해 이러한 KMS 키에 대한 완전한 제어 권한을 가집니다.

고객 관리형 키는 AWS KMS에 대한 AWS Management Console 의 고객 관리형 키 페이지에 나타납니다. 고객 관리형 키를 명확하게 식별하려면 DescribeKey 작업을 사용합니다. 고객 관리형 키에서는 DescribeKey 응답의 KeyManager 필드 값이 CUSTOMER입니다.

암호화 작업에서 사용자 관리형 키를 사용하고 AWS CloudTrail 로그에서 사용을 감사할 수 있습니다. 뿐만 아니라 AWS KMS에 통합된 다양한AWS 서비스 덕분에 사용자를 위해 저장 및 관리하는 데이터를 보호하도록 고객 관리형 키를 지정할 수 있습니다.

고객 관리형 키는 매달 요금이 발생하며, 프리 티어를 초과해서 사용한 만큼 요금이 부과됩니다. 계정 AWS KMS 의 할당량에 포함됩니다. 자세한 내용은 AWS Key Management Service 요금할당량 섹션을 참조하세요.

AWS 관리형 키

AWS 관리형 키AWS 와 통합된 서비스 AWS KMS에서 사용자를 대신하여 생성, 관리 및 사용하는 계정의 KMS 키입니다.

일부 AWS 서비스를 사용하면 AWS 관리형 키 또는 고객 관리형 키를 선택하여 해당 서비스의 리소스를 보호할 수 있습니다. 일반적으로 리소스를 보호하는 암호화 키를 제어해야 하는 경우가 아니면 AWS 관리형 키 를 선택하는 것이 좋습니다. 키 또는 키 정책을 만들거나 유지할 필요가 없으며 AWS 관리형 키에 대한 월 요금도 없습니다.

계정에서 를 보고 AWS 관리형 키, 키 정책을 보고, AWS CloudTrail 로그에서 사용을 감사할 수 있는 권한이 있습니다. 그러나의 속성을 변경하거나 AWS 관리형 키, 교체하거나, 키 정책을 변경하거나, 삭제를 예약할 수는 없습니다. 또한 암호화 작업 AWS 관리형 키 에서는를 직접 사용할 수 없습니다. 암호화 작업을 생성하는 서비스는 사용자를 대신하여 이를 사용합니다.

조직의 리소스 제어 정책은에 적용되지 않습니다 AWS 관리형 키.

AWS 관리형 키 는 AWS Management Console 의 AWS 관리형 키 페이지에 표시됩니다 AWS KMS. aws/service-name와 같이 형식이 인 별칭 AWS 관리형 키 으로 식별할 수도 있습니다aws/redshift. 를 명확하게 식별하려면 DescribeKey 작업을 AWS 관리형 키사용합니다. AWS 관리형 키에서는 DescribeKey 응답의 KeyManager 필드 값이 AWS입니다.

모든 AWS 관리형 키 는 매년 자동으로 교체됩니다. 이 교체 일정은 변경할 수 없습니다.

참고

2022년 5월에의 교체 일정을 3년마다(약 1,095일) AWS 관리형 키 에서 1년마다(약 365일)로 AWS KMS 변경했습니다.

새 AWS 관리형 키 는 생성 후 1년이 지나면 자동으로 교체되고 그 이후에는 대략 1년마다 교체됩니다.

기존 AWS 관리형 키 는 가장 최근 교체 후 1년이 지나면 자동으로 교체되고 그 이후에는 매년 교체됩니다.

에 대한 월별 요금은 없습니다 AWS 관리형 키. 프리 티어를 초과하여 사용할 경우 요금이 부과될 수 있지만 일부 AWS 서비스에서는 이러한 비용을 부담합니다. 자세한 내용은 서비스에 대한 사용 설명서 또는 개발자 안내서의 저장 시 암호화 주제를 참조하세요. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

AWS 관리형 키 계정의 각 리전에 있는 KMS 키 수에 대한 리소스 할당량에 포함되지 않습니다. 그러나 계정의 보안 주체 대신 사용되는 KMS 키는 요청 할당량에 포함됩니다. 자세한 내용은 할당량 섹션을 참조하세요.

AWS 소유 키

AWS 소유 키는 AWS 서비스가 여러에서 사용하기 위해 소유하고 관리하는 KMS 키 모음입니다 AWS 계정. AWS 소유 키 는에 없지만 AWS 서비스는 AWS 계정 AWS 소유 키 를 사용하여 계정의 리소스를 보호할 수 있습니다.

일부 AWS 서비스를 사용하면 AWS 소유 키 또는 고객 관리형 키를 선택할 수 있습니다. 일반적으로 리소스를 보호하는 암호화 키를 감사하거나 제어해야 하는 경우가 아니면 AWS 소유 키 를 선택하는 것이 좋습니다. AWS 소유 키 는 완전히 무료(월별 요금 또는 사용 요금 없음)이며 계정AWS KMS 의 할당량에 포함되지 않으며 사용하기 쉽습니다. 키 또는 키 정책을 만들거나 유지하지 않아도 됩니다.

의 교체는 서비스에 따라 AWS 소유 키 다릅니다. 특정의 교체에 대한 자세한 내용은 서비스 사용 설명서 또는 개발자 안내서의 저장 시 암호화 주제를 AWS 소유 키참조하세요.

AWS KMS key 계층 구조

키 계층 구조는 최상위 논리적 키인 로 시작합니다 AWS KMS key. KMS 키는 최상위 키 구성 요소의 컨테이너를 나타내며, Amazon 리소스 이름(ARN)을 사용하여 AWS 서비스 네임스페이스에 고유하게 정의됩니다. ARN에는 고유하게 생성된 키 식별자인 키 ID가 포함되어 있습니다. KMS 키는 사용자가 시작한 요청을 기반으로 생성됩니다 AWS KMS. 수신 시는 KMS 키 컨테이너에 배치할 초기 HSM 백업 키(HBK) 생성을 AWS KMS 요청합니다. HBK는 도메인의 HSM에 생성되며 HSM에서 일반 텍스트로 내보낼 수 없도록 설계되었습니다. 대신 HBK는 HSM 관리 도메인 키로 암호화되어 내보내집니다. 이러한 내보낸 HBK를 내보낸 키 토큰(EKT)이라고 합니다.

EKT는 내구성이 높고 대기 시간이 짧은 스토리지로 내보내집니다. 예를 들어 논리적 KMS 키에 대한 ARN 수신한다고 가정합니다. 이는 키 계층 구조 또는 암호화 컨텍스트의 최상위를 나타냅니다. 계정 내에 여러 KMS 키를 생성하고 다른 AWS 명명된 리소스와 마찬가지로 KMS 키에 정책을 설정할 수 있습니다.

특정 KMS 키의 계층 구조 내에서 HBK는 KMS 키의 한 버전이라고 할 수 있습니다. KMS 키를를 통해 교체하려는 경우 AWS KMS새 HBK가 생성되고 KMS 키에 대한 활성 HBK로 KMS 키와 연결됩니다. 이전 HBK는 보존되며 이전에 보호된 데이터를 복호화하고 확인하는 데 사용할 수 있습니다. 단, 새 정보를 보호하는 데에는 활성 암호화 키만 사용할 수 있습니다.

AWS KMS key 계층 구조.

AWS KMS 를 통해 KMS 키를 사용하여 정보를 직접 보호하도록 요청하거나 KMS 키로 보호되는 추가 HSM 생성 키를 요청할 수 있습니다. 이러한 키를 고객 데이터 키(CDK)라고 합니다. CDK는 암호화 텍스트(CT), 일반 텍스트 또는 두 가지 형식 모두로 암호화된 상태로 반환될 수 있습니다. KMS 키(고객 제공 데이터 또는 HSM 생성 키)로 암호화된 모든 객체는 직접 호출을 통해 HSM에서만 복호화할 수 있습니다 AWS KMS.

반환된 사이퍼텍스트 또는 복호화된 페이로드는 내에 저장되지 않습니다 AWS KMS. 이 정보는 AWS KMS에 대한 TLS 연결을 통해 사용자에게 반환됩니다. 이는 사용자를 대신하여 AWS 서비스에서 수행한 호출에도 적용됩니다.

다음 표에는 키 계층 구조 및 특정 키 속성이 나와 있습니다.

설명 수명 주기

도메인 키

HSM 메모리에만 있는 256비트 AES-GCM 키로, KMS 키의 버전, 즉 HSM 백업 키를 래핑하는 데 사용됩니다.

매일 교체됨1

HSM 백업 키

256비트 대칭 키 또는 RSA 또는 타원 곡선 개인 키로, 고객 데이터 및 키를 보호하는 데 사용되며 도메인 키로 암호화됩니다. 하나 이상의 HSM 백업 키가 KMS 키를 구성하며 keyId로 표시됩니다.

매년 교체됨2(선택적 구성)

추출된 암호화 키

HSM 메모리에만 있는 256비트 AES-GCM 키로, 고객 데이터 및 키를 암호화하는 데 사용됩니다. 각 암호화에 대해 HBK에서 추출됩니다.

암호화당 한 번 사용되며 복호화할 때 다시 생성됩니다.

고객 데이터 키

HSM에서 일반 텍스트 및 암호화 텍스트 형식으로 내보낸 사용자 정의 대칭 또는 비대칭 키입니다.

HSM 백업 키로 암호화되며, TLS 채널을 통해 권한 있는 사용자에게 반환됩니다.

교체 및 애플리케이션에 의한 통제된 사용

1 AWS KMS 도메인 관리 및 구성 작업을 고려하기 위해 도메인 키 교체를 최대 매주 완화할 수 있습니다.

2 사용자를 대신하여 AWS KMS 에서 AWS 관리형 키 생성하고 관리하는 기본값은 매년 자동으로 교체됩니다.

키 식별자(KeyId)

키 식별자는 KMS 키의 이름과 같은 역할을 합니다. 콘솔에서 KMS 키를 인식하는 데 도움이 됩니다. 이를 사용하여 AWS KMS API 작업, 키 정책, IAM 정책 및 권한 부여에 사용할 KMS 키를 나타냅니다. 키 식별자 값은 KMS 키와 연결된 키 자료와 전혀 관련이 없습니다.

AWS KMS 는 여러 키 식별자를 정의합니다. KMS 키를 생성할 때는 KMS 키의 속성인 키 ARN과 키 ID를 AWS KMS 생성합니다. 별칭을 생성하면는 사용자가 정의한 별칭 이름을 기반으로 별칭 ARN을 AWS KMS 생성합니다. 및 AWS KMS API에서 키 AWS Management Console 및 별칭 식별자를 볼 수 있습니다.

AWS KMS 콘솔에서 키 ARN, 키 ID 또는 별칭 이름을 기준으로 KMS 키를 보고 필터링하고 키 ID 및 별칭 이름을 기준으로 정렬할 수 있습니다. 콘솔에서 키 식별자를 찾는 방법에 대한 도움말은 키 ID 및 키 ARN 찾기 섹션을 참조하세요.

AWS KMS API에서 KMS 키를 식별하는 데 사용하는 파라미터의 이름은 KeyId 또는와 같은 TargetKeyId 또는 변형입니다DestinationKeyId. 그러나 이러한 파라미터의 값은 키 ID로 제한되지 않습니다. 일부는 유효한 키 식별자를 취할 수 있습니다. 각 파라미터의 값에 대한 자세한 내용은 AWS Key Management Service API 참조의 파라미터 설명을 참조하세요.

참고

AWS KMS API를 사용할 때는 사용하는 키 식별자에 주의해야 합니다. API에 따라 다른 키 식별자가 필요합니다. 일반적으로 작업에 가장 완전하고 실용적인 키 식별자를 사용하십시오.

AWS KMS 는 다음 키 식별자를 지원합니다.

키 ARN

키 ARN은 KMS 키의 Amazon 리소스 이름(ARN)입니다. KMS 키에 대한 고유한 정규화된 식별자입니다. 키 ARN에는 AWS 계정, 리전 및 키 ID가 포함됩니다. KMS 키의 키 ARN을 찾는 방법에 대한 도움말은 키 ID 및 키 ARN 찾기 섹션을 참조하세요.

키 ARN의 형식은 다음과 같습니다.

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

다음은 단일 리전 KMS 키의 키 ARN 예입니다.

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

다중 리전 키의 키 ARN의 key-id 요소는 mrk- 접두사로 시작합니다. 다음은 다중 리전 키에 대한 예제 키 ARN입니다.

arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
키 ID

키 ID는 계정 및 리전 내의 KMS 키를 고유하게 식별합니다. KMS 키의 키 ID를 찾는 방법에 대한 도움말은 키 ID 및 키 ARN 찾기 섹션을 참조하세요.

다음은 단일 리전 KMS 키의 키 ID 예입니다.

1234abcd-12ab-34cd-56ef-1234567890ab

다중 리전 키의 키 ID는 mrk- 접두사로 시작합니다. 다음은 다중 리전 키에 대한 예제 키 ID입니다.

mrk-1234abcd12ab34cd56ef1234567890ab
별칭 ARN

별칭 ARN은 AWS KMS 별칭의 Amazon 리소스 이름(ARN)입니다. 별칭 및 해당 별칭이 나타내는 KMS 키에 대한 고유한 정규화된 식별자입니다. 별칭 ARN에는 AWS 계정, 리전 및 별칭 이름이 포함됩니다.

지정된 시간에 별칭 ARN은 하나의 특정 KMS 키를 식별합니다. 그러나 별칭과 연결된 KMS 키를 변경할 수 있으므로 별칭 ARN이 서로 다른 시간에 서로 다른 KMS 키를 식별할 수 있습니다. KMS 키의 별칭 ARN을 찾는 방법에 대한 도움말은 KMS 키의 별칭 이름 및 별칭 ARN 찾기 섹션을 참조하세요.

별칭 ARN의 형식은 다음과 같습니다.

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

다음은 가상 ExampleAlias의 별칭 ARN입니다.

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
별칭 이름

별칭 이름은 최대 256자의 문자열입니다. 계정 및 리전 내의 연결된 KMS 키를 고유하게 식별합니다. AWS KMS API에서 별칭 이름은 항상 로 시작합니다alias/. KMS 키의 별칭 이름을 찾는 방법에 대한 도움말은 KMS 키의 별칭 이름 및 별칭 ARN 찾기 섹션을 참조하세요.

별칭 이름의 형식은 다음과 같습니다.

alias/<alias-name>

예:

alias/ExampleAlias

별칭 이름의 aws/ 접두사는 AWS 관리형 키용으로 예약됩니다. 이 접두사를 가진 별칭은 만들 수 없습니다. 예를 들어 Amazon Simple Storage Service(Amazon S3) AWS 관리형 키 용의 별칭 이름은 다음과 같습니다.

alias/aws/s3