사용자 지정 키 스토어 사용 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 키 스토어 사용

AWS KMS은 를 지원합니다.사용자 지정 키 스토어지원AWS CloudHSM클러스터. 사용자 지정 키 스토어에서 AWS KMS 고객 마스터 키(CMK)를 생성할 때 AWS KMS는 사용자가 보유하고 관리하는 AWS CloudHSM 클러스터에 추출이 불가능한 CMK용 키 구성 요소를 생성하여 저장합니다. 사용자 지정 키 스토어에서 CMK를 사용할 때 클러스터의 HSM에서 암호화 작업이 수행됩니다. 이 기능은 의 편의성 및 광범위한 통합을 하나로 결합합니다.AWS KMS의 추가 된 컨트롤과AWS CloudHSM클러스터에 있는 AWS 계정 .

AWS KMS는 사용자 지정 키 스토어를 생성, 사용 및 관리할 수 있도록 전체 콘솔 및 API를 지원합니다. 사용자 지정 키 스토어에서 CMK를 생성하면 다른 CMK에서와 마찬가지로 이들을 사용할 수 있습니다. 예를 들어 CMK를 사용해 데이터 키를 생성하고 데이터를 암호화할 수 있습니다. 또한 고객 관리형 CMK를 지원하는 AWS 서비스와 함께 사용자 지정 키 스토어에서 CMK를 사용할 수 있습니다.

사용자 지정 키 스토어가 필요할까요?

대부분의 사용자의 경우 기본AWS KMS에 의해 보호되는 키 저장소FIPS 140-2 인증 암호화 모듈는 보안 요구 사항을 충족합니다. 유지 관리를 책임지는 계층을 추가하거나 추가 서비스에 의존할 필요가 없습니다.

하지만 조직이 다음 요구 사항을 가지고 있는 경우에는 사용자 지정 키 스토어를 생성하는 방법을 고려할 수 있습니다.

  • 키 구성 요소는 공유 환경에 저장할 수 없습니다.

  • 키 구성 요소는 독립적인 보조 감사 경로를 따라야 합니다.

  • 키 구성 요소를 생성하고 저장하는 HSM은 FIPS 140-2 레벨 3에서 인증을 받아야 합니다.

사용자 지정 키 스토어는 어떻게 작동합니까?

각 사용자 지정 키 스토어의 키 스토어는AWS CloudHSM클러스터에 있는 AWS 계정 . 사용자 지정 키 스토어를 클러스터에 연결할 때 AWS KMS는 이러한 연결을 지원하는 네트워크 인프라를 생성합니다. 그런 다음 키에 로그인합니다.AWS CloudHSM클라이언트의 자격 증명을 사용하여 클러스터의전용 암호화 사용자클러스터에 있습니다.

사용자 지정 키 스토어는 AWS KMS에서, HSM 클러스터는 AWS CloudHSM에서 생성 및 관리합니다. AWS KMS 사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 생성할 때 AWS KMS에서 CMK를 확인 및 관리합니다. 그러나 클러스터의 다른 키에서와 마찬가지로 AWS CloudHSM에서 키 구성 요소를 확인 및 관리할 수도 있습니다.


      사용자 지정 키 스토어에서 CMK 관리

할 수 있습니다.대칭 CMK 생성에 의해 생성 된 키 재질로AWS KMS사용자 지정 키 스토어의 키 스토어를 생성합니다 그런 다음 같은 기법을 사용하여 AWS KMS 키 스토어에서 CMK에 사용하는 사용자 지정 키 스토어에서 CMK를 확인 및 관리할 수 있습니다. IAM 및 키 정책을 통해 액세스를 제어하고 태그 및 별칭을 생성하며 CMK를 활성화 및 비활성화하고 키 삭제를 예약할 수 있습니다. 암호화 작업에서 CMK를 사용하고 AWS KMS를 통합한 AWS 서비스와 함께 이들을 사용할 수 있습니다.

뿐만 아니라 HSM 생성 및 삭제하고 백업을 관리하는 등 AWS CloudHSM 클러스터를 완벽하게 제어할 수 있습니다. AWS CloudHSM 클라이언트와 지원되는 소프트웨어 라이브러리를 사용하여 CMK를 위한 키 구성 요소를 확인, 감사 및 관리할 수 있습니다. 사용자 지정 키 스토어의 연결이 해제되어 있으면 AWS KMS가 사용자 지정 키 스토어에 액세스할 수 없기 때문에 사용자는 암호화 작업 시 사용자 지정 키 스토어의 CMK를 사용할 수 없습니다. 이러한 추가적인 제어 계층 덕분에 사용자 지정 키 스토어는 이를 필요로 하는 조직에게 강력한 솔루션이 될 수 있습니다.

어디에서 시작합니까?

사용자 지정 키 스토어를 생성 및 관리하려면 AWS KMS 및 AWS CloudHSM의 기능을 사용합니다.

  1. AWS CloudHSM에서 시작합니다. 활성 AWS CloudHSM 클러스터를 생성하거나 기존 클러스터를 선택합니다. 클러스터는 서로 다른 가용 영역에 최소 2개의 활성 HSM을 가지고 있어야 합니다. 그런 다음 생성전용 CU (CU) 계정에 대한 해당 클러스터에서AWS KMS.

  2. InAWS KMS,사용자 지정 키 스토어를 생성선택한 항목과 연결된AWS CloudHSM클러스터에 연결됩니다.AWS KMS제공하는완벽한 관리 인터페이스사용자 지정 키 스토어를 생성, 보기, 편집 및 삭제할 수 있습니다.

  3. 사용자 지정 키 스토어를 사용할 준비가 되면 이를 연결된 AWS CloudHSM 클러스터에 연결합니다. AWS KMS는 연결을 지원하는 데 필요한 네트워크 인프라를 생성합니다. 그런 다음, 클러스터에서 키 구성 요소를 생성 및 관리할 수 있도록 전용 CU(Crypto User) 계정 자격 증명을 사용해 클러스터에 로그인합니다.

  4. 이제 사용자 지정 키 스토어에서 대칭 CMK를 생성할 수 있습니다. CMK를 생성할 때 사용자 지정 키 스토어를 지정만 하면 됩니다.

어떤 지점에서 막히면 사용자 지정 키 스토어 문제 해결 주제에서 도움말을 참조할 수 있습니다. 문제가 해결되지 않은 경우 이 가이드의 각 페이지 하단에 있는 피드백 링크를 사용하거나 에 질문을 게시합니다.AWS Key Management Service토론 포럼.

할당량

사용자 지정 키 스토어 수에 대한 리소스 할당량은 AWS 계정 또는 리전입니다. 그러나 이러한 항목은 다음과 같습니다.AWS CloudHSM할당량 (예:수AWS CloudHSM클러스터For Each AWS 계정 및 지역 및AWS KMS에 대한 할당량사용자 지정 키 스토어의 CMK 사용.

Regions

AWS KMS는 모든 사용자 지정 키 스토어를 지원합니다. AWS 리전 여기서 둘 다AWS KMS및AWS CloudHSM를 사용할 수 있습니다. 목록은 다음과 같습니다. AWS 리전 는 각 서비스에서 지원되는 항목에 대한 자세한 내용은AWS Key Management Service엔드포인트 및 할당량AWS CloudHSM엔드포인트 및 할당량Amazon Web Services 의 일반 참조.

지원되지 않는 기능

AWS KMS는 다음을 지원하지 않습니다.AWS KMS사용자 지정 키 스토어의 키 스토어.