사용자 지정 키 스토어 사용 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 키 스토어 사용

AWS KMS는 AWS KMS 사용자 지정 키 스토어 클러스터에서 지원되는 AWS CloudHSM사용자 지정 키 스토어를 지원합니다. 사용자 지정 키 스토어에서 AWS KMS 고객 마스터 키(CMK)를 생성하면 AWS KMS가 추출할 수 없는 CMK용 키 구성 요소를 사용자가 소유 및 관리하는 AWS CloudHSM 클러스터에 생성하여 저장합니다. 사용자 지정 키 스토어에서 CMK를 사용하는 경우 암호화 작업이 클러스터의 HSMs에서 수행됩니다. 이 기능은 AWS KMS의 편의성 및 광범위한 통합 기능과 AWS 계정의 추가 AWS CloudHSM 클러스터 컨트롤을 하나로 결합합니다.

AWS KMS는 사용자 지정 키 스토어를 생성, 사용 및 관리할 수 있도록 전체 콘솔 및 API를 지원합니다. 사용자 지정 키 스토어에서 CMKs를 생성할 때 다른 CMK와 마찬가지로 사용할 수 있습니다. 예를 들어, CMKs를 사용하여 데이터 키를 생성하고 데이터를 암호화할 수 있습니다. 고객 관리형 CMKs를 지원하는 AWS 서비스와 함께 사용자 지정 키 스토어에서 CMKs를 사용할 수도 있습니다.

사용자 지정 키 스토어가 필요할까요?

대부분 사용자는 FIPS 140-2 검증 암호화 모듈이 보호하는 기본 AWS KMS 키 스토어를 통해 보안 요구 사항을 충족합니다. 유지 관리를 책임지는 계층을 추가하거나 추가 서비스에 의존할 필요가 없습니다.

하지만 조직이 다음 요구 사항을 가지고 있는 경우에는 사용자 지정 키 스토어를 생성하는 방법을 고려할 수 있습니다.

  • 키 구성 요소는 공유 환경에 저장할 수 없습니다.

  • 키 구성 요소는 독립적인 보조 감사 경로를 따라야 합니다.

  • 키 구성 요소를 생성 및 저장하는 HSMs은 FIPS 140-2 레벨 3에서 인증되어야 합니다.

사용자 지정 키 스토어는 어떻게 작동합니까?

각각의 사용자 지정 키 스토어는 AWS 계정의 AWS CloudHSM 클러스터와 연결됩니다. 사용자 지정 키 스토어를 클러스터에 연결할 때 AWS KMS는 이러한 연결을 지원하는 네트워크 인프라를 생성합니다. 그런 다음, 클러스터에서 전용 CU(Crypto User) 계정의 자격 증명을 사용하여 클러스터의 키 AWS CloudHSM 클라이언트에 로그인합니다.

사용자 지정 키 스토어는 AWS KMS에서, HSM 클러스터는 AWS CloudHSM에서 생성 및 관리합니다. 사용자 지정 키 스토어에서 고객 마스터 키(CMKs)를 생성할 때 AWS KMS에서 CMKs를 보고 관리합니다.AWS KMS 그러나 클러스터의 다른 키에서와 마찬가지로 AWS CloudHSM에서 키 구성 요소를 확인 및 관리할 수도 있습니다.


      사용자 지정 키 스토어에서 CMKs 관리

사용자 지정 키 스토어에서 가 생성한 키 구성 요소로 CMKs대칭 를 생성AWS KMS할 수 있습니다. 그런 다음 동일한 기법을 사용하여 CMKs 키 스토어의 CMKs에 사용하는 사용자 지정 키 스토어에서 AWS KMS를 보고 관리합니다. 및 키 정책을 사용하여 액세스를 제어하고, 태그 및 별칭을 생성하며, IAM를 활성화 및 비활성화하고, 키 삭제를 예약할 수 있습니다.CMKs 를 CMKs암호화 작업에 사용하고 와 통합되는 AWS 서비스와 함께 사용할 수 있습니다.AWS KMS

또한 AWS CloudHSM 생성 및 삭제와 백업 관리를 포함하여 HSMs 클러스터를 완벽하게 제어할 수 있습니다. 클라이언트 및 지원되는 소프트웨어 라이브러리를 사용하여 AWS CloudHSM에 대한 키 구성 요소를 확인, 감사 및 관리할 수 있습니다.CMKs 사용자 지정 키 스토어의 연결이 해제되어 있으면 AWS KMS가 해당 키 스토어에 액세스할 수 없으며, 사용자는 암호화 작업 시 사용자 지정 키 스토어의 CMKs를 사용할 수 없습니다. 이러한 추가적인 제어 계층 덕분에 사용자 지정 키 스토어는 이를 필요로 하는 조직에게 강력한 솔루션이 될 수 있습니다.

어디에서 시작합니까?

사용자 지정 키 스토어를 생성 및 관리하려면 AWS KMS 및 AWS CloudHSM의 기능을 사용합니다.

  1. AWS CloudHSM에서 시작합니다. 활성 AWS CloudHSM 클러스터를 생성하거나 기존 클러스터를 선택합니다. 클러스터는 서로 다른 가용 영역에 최소 2개의 활성 HSMs가 있어야 합니다. 그러면 AWS KMS에서 해당 클러스터에 대한 전용 CU(Crypto User) 계정을 생성할 수 있습니다.

  2. AWS KMS에서 선택한 AWS CloudHSM 클러스터에 연결된 사용자 지정 키 스토어를 생성합니다. AWS KMS는 사용자 지정 키 스토어를 생성, 확인, 편집 및 삭제할 수 있도록 완벽한 관리 인터페이스를 제공합니다.

  3. 사용자 지정 키 스토어를 사용할 준비가 되면 이를 연결된 AWS CloudHSM 클러스터에 연결합니다. AWS KMS는 연결을 지원하는 데 필요한 네트워크 인프라를 생성합니다. 그런 다음, 클러스터에서 키 구성 요소를 생성 및 관리할 수 있도록 전용 CU(Crypto User) 계정 자격 증명을 사용해 클러스터에 로그인합니다.

  4. 이제 사용자 지정 키 스토어에서 대칭 CMKs를 생성할 수 있습니다. 를 생성할 때 사용자 지정 키 스토어를 지정하기만 하면 됩니다.CMK

어떤 지점에서 막히면 사용자 지정 키 스토어 문제 해결 주제에서 도움말을 참조할 수 있습니다. 문제가 해결되지 않은 경우 이 가이드의 각 페이지 하단에 있는 피드백 링크를 사용하거나 AWS Key Management Service 토론 포럼에 질문을 게시합니다.

할당량

AWS 계정 또는 리전의 사용자 지정 키 스토어 수에 대한 리소스 할당량은 없습니다. 그러나 AWS CloudHSM 할당량은 각 계정 및 리전의 AWS CloudHSM 클러스터 수에 대한 할당량과 AWS사용자 지정 키 스토어에서 AWS KMS 사용에 대한 CMKs 할당량이 있습니다.

Regions

AWS KMS는 AWS KMS 및 AWS CloudHSM 모두 사용할 수 있는 모든 AWS 리전에서 사용자 지정 키 스토어를 지원합니다. 각 서비스가 지원되는 AWS 리전의 목록은 Amazon Web Services 일반 참조에서 AWS Key Management Service 엔드포인트 및 할당량AWS CloudHSM 엔드포인트 및 할당량 단원을 참조하십시오.

지원되지 않는 기능

사용자 지정 키 스토어는 비대칭 CMKs, 비대칭 데이터 키 페어 또는 CMKs가 가져온 키 구성 요소와 함께 지원되지 않으며, 사용자 지정 키 스토어의 에서 자동 키 교체CMK를 활성화할 수 없습니다.