기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사용자 지정 키 스토어
키 스토어는 암호화 키를 저장하기에 안전한 장소입니다. AWS KMS의 기본 키 스토어는 저장하는 키를 생성 및 관리하는 방법도 지원합니다. 기본적으로 AWS KMS에서 생성한 AWS KMS keys의 암호화 키 구성 요소는 FIPS 140-2 검증을 거친 암호화 모듈
그러나 HSM에 대한 더 많은 제어가 필요한 경우 사용자 지정 키 스토어를 생성할 수 있습니다.
사용자 지정 키 스토어는 사용자가 소유하고 관리하는 AWS KMS 외부의 키 관리자가 지원하는 AWS KMS 내의 논리적 키 스토어입니다. 사용자 지정 키 스토어는 AWS KMS의 편리하고 포괄적인 키 관리 인터페이스와 키 구성 요소 및 암호화 작업을 소유하고 제어하는 기능을 결합합니다. 사용자 지정 키 스토어에서 KMS 키를 사용하면 키 관리자가 암호화 키를 사용하여 암호화 작업을 수행합니다. 따라서 암호화 키의 가용성과 내구성 및 HSM의 작동에 대한 사용자의 책임이 커집니다.
AWS KMS는 두 가지 유형의 사용자 지정 키 스토어를 지원합니다.
-
AWS CloudHSM 키 스토어는 AWS CloudHSM 클러스터에서 지원하는 AWS KMS 사용자 지정 키 스토어입니다. 사용자가 AWS CloudHSM 키 스토어에서 KMS 키를 생성하면 AWS KMS는 연결된 AWS CloudHSM 클러스터에 내보내기가 불가능하고 영구적인 256비트의 고급 암호화 표준(AES) 대칭 키를 생성합니다. 이 키 구성 요소는 AWS CloudHSM 클러스터를 암호화되지 않은 상태로 두지 않습니다. AWS CloudHSM 키 스토어에서 KMS 키를 사용하면 클러스터의 HSM에서 암호화 작업이 수행됩니다. AWS CloudHSM 클러스터는 FIPS 140-2 레벨 3
에서 인증된 하드웨어 보안 모듈(HSM)에서 지원됩니다. -
외부 키 스토어외부 키 스토어는 사용자가 소유하고 제어하는 AWS 외부의 외부 키 관리자가 지원하는 AWS KMS 사용자 지정 키 스토어입니다. 외부 키 스토어에서 KMS 키를 사용하면 외부 키 관리자가 암호화 키를 사용하여 모든 암호화 및 복호화 작업을 수행합니다. 외부 키 스토어는 여러 공급업체의 다양한 외부 키 관리자를 지원하도록 설계되었습니다.
AWS KMS는 외부 키 관리자 또는 암호화 키를 직접 보거나 액세스하거나 상호 작용하지 않습니다. 외부 키 스토어에서 KMS 키로 암호화하거나 복호화하면 외부 키를 사용하여 외부 키 관리자에 의해 작업이 수행됩니다. 사용자는 AWS와 상호 작용하지 않고 암호화 작업을 거부하거나 중지하는 기능을 포함하여 암호화 키에 대한 모든 권한을 보유합니다. 그러나 거리와 추가 처리로 인해 외부 키 스토어의 KMS 키는 지연 시간이 길어지고 성능이 저하될 수 있으며 AWS KMS에 키 구성 요소가 있는 KMS 키와 다른 가용성 특성을 가질 수 있습니다. AWS KMS 외부 키 스토어 기능과 호환되는 키 관리자에 대한 자세한 내용은 AWS Key Management Service FAQ의 XKS 프록시 사양을 지원하는 외부 공급업체는 어디인가요?
를 참조하세요.
이 두 가지 유형의 사용자 지정 키 스토어는 표준 AWS KMS 키 스토어와 상당히 다르며 서로 간에도 상당히 다릅니다. 보안 모델, 책임의 초점, 성능, 가격 및 사용 사례도 매우 다릅니다. 사용자 지정 키 스토어를 선택하기 전에 관련 설명서를 읽고 추가 구성 및 유지 관리 책임이 추가 제어를 위한 현명한 절충안인지 확인하세요. 그러나 운영에 적용되는 규칙 및 규정에 따라 키 구성 요소를 직접 제어해야 하는 경우 사용자 지정 키 스토어가 좋은 선택일 수 있습니다.
지원되지 않는 기능
AWS KMS는 사용자 지정 키 스토어에서 다음 기능을 지원하지 않습니다.