사용자 지정 키 스토어 사용 - AWS Key Management Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

사용자 지정 키 스토어 사용

AWS KMS 지원 맞춤형 키 스토어 지원 AWS CloudHSM 클러스터. 다음을 만들 때 AWS KMS 고객 마스터 키 (CMK) 사용자 지정 키 저장소에서 AWS KMS 비추출성 키 자료를 생성하여 CMK 에서 AWS CloudHSM 를 소유 및 관리하는 클러스터입니다. 사용 시 CMK 사용자 지정 키 저장소에서 암호화 작업 클러스터의 HSM에서 수행됩니다. 이 기능은 AWS KMS의 편의성 및 광범위한 통합 기능과 AWS 계정의 추가 AWS CloudHSM 클러스터 컨트롤을 하나로 결합합니다.

AWS KMS는 사용자 지정 키 스토어를 생성, 사용 및 관리할 수 있도록 전체 콘솔 및 API를 지원합니다. 여러분이 CMKs 사용자 지정 키 스토어에서 원하는 대로 사용할 수 있습니다. CMK. 예를 들어, CMKs 데이터 키를 생성하고 데이터를 암호화합니다. 또한 CMKs 맞춤형 키 스토어에서 AWS 고객 관리형 서비스를 지원하는 서비스 CMKs.

사용자 지정 키 스토어가 필요할까요?

대부분 사용자는 FIPS 140-2 검증 암호화 모듈이 보호하는 기본 AWS KMS 키 스토어를 통해 보안 요구 사항을 충족합니다. 유지 관리를 책임지는 계층을 추가하거나 추가 서비스에 의존할 필요가 없습니다.

하지만 조직이 다음 요구 사항을 가지고 있는 경우에는 사용자 지정 키 스토어를 생성하는 방법을 고려할 수 있습니다.

  • 키 구성 요소는 공유 환경에 저장할 수 없습니다.

  • 키 구성 요소는 여러 AWS 리전에서 지원되어야 합니다.

  • 키 구성 요소는 독립적인 보조 감사 경로를 따라야 합니다.

  • 키 구성 요소를 생성하고 저장하는 HSM은 FIPS 140-2 레벨 3에서 인증을 받아야 합니다.

사용자 지정 키 스토어는 어떻게 작동합니까?

각각의 사용자 지정 키 스토어는 AWS 계정의 AWS CloudHSM 클러스터와 연결됩니다. 사용자 지정 키 스토어를 클러스터에 연결할 때 AWS KMS는 이러한 연결을 지원하는 네트워크 인프라를 생성합니다. 그런 다음, 클러스터에서 전용 CU(Crypto User) 계정의 자격 증명을 사용하여 클러스터의 키 AWS CloudHSM 클라이언트에 로그인합니다.

사용자 지정 키 스토어는 AWS KMS에서, HSM 클러스터는 AWS CloudHSM에서 생성 및 관리합니다. 여러분이 고객 마스터 키 (CMKs)의 AWS KMS 사용자 지정 키 저장소를 사용하여 CMKs 에서 AWS KMS. 그러나 클러스터의 다른 키에서와 마찬가지로 AWS CloudHSM에서 키 구성 요소를 확인 및 관리할 수도 있습니다.


      관리 CMKs 맞춤형 키 스토어에서

다음을 수행할 수 있습니다. 대칭 생성 CMKs 주요 자재는 AWS KMS 사용자 지정 키 저장소에 있습니다. 그런 다음 동일한 기술을 사용하여 CMKs 사용자 지정 키 스토어에서 CMKs 에서 AWS KMS 키 저장소. 다음을 사용하여 액세스를 제어할 수 있습니다. IAM 태그 및 별칭을 생성하고 CMKs, 및 일정 키 삭제. 다음을 사용할 수 있습니다. CMKs 에 대해 암호화 작업 이 제품을 AWS 통합되는 서비스를 AWS KMS.

뿐만 아니라 HSM 생성 및 삭제하고 백업을 관리하는 등 AWS CloudHSM 클러스터를 완벽하게 제어할 수 있습니다. 다음을 사용할 수 있습니다. AWS CloudHSM 클라이언트 및 지원되는 소프트웨어 라이브러리를 사용하여 CMKs. 사용자 지정 키 저장소가 연결되지 않은 동안 AWS KMS 액세스할 수 없으며 사용자는 CMKs 암호화 작업을 위해 사용자 지정 키 저장소에서 이러한 추가적인 제어 계층 덕분에 사용자 지정 키 스토어는 이를 필요로 하는 조직에게 강력한 솔루션이 될 수 있습니다.

어디에서 시작합니까?

사용자 지정 키 스토어를 생성 및 관리하려면 AWS KMS 및 AWS CloudHSM의 기능을 사용합니다.

  1. AWS CloudHSM에서 시작합니다. 활성 AWS CloudHSM 클러스터를 생성하거나 기존 클러스터를 선택합니다. 클러스터는 서로 다른 가용 영역에 최소 2개의 활성 HSM을 가지고 있어야 합니다. 그러면 AWS KMS에서 해당 클러스터에 대한 전용 CU(Crypto User) 계정을 생성할 수 있습니다.

  2. AWS KMS에서 선택한 AWS CloudHSM 클러스터에 연결된 사용자 지정 키 스토어를 생성합니다. AWS KMS는 사용자 지정 키 스토어를 생성, 확인, 편집 및 삭제할 수 있도록 완벽한 관리 인터페이스를 제공합니다.

  3. 사용자 지정 키 스토어를 사용할 준비가 되면 이를 연결된 AWS CloudHSM 클러스터에 연결합니다. AWS KMS는 연결을 지원하는 데 필요한 네트워크 인프라를 생성합니다. 그런 다음, 클러스터에서 키 구성 요소를 생성 및 관리할 수 있도록 전용 CU(Crypto User) 계정 자격 증명을 사용해 클러스터에 로그인합니다.

  4. 이제 대칭 생성 CMKs 맞춤형 키 스토어에서. 사용자 지정 키 저장소를 지정하기만 하면 CMK.

어떤 지점에서 막히면 사용자 지정 키 스토어 문제 해결 주제에서 도움말을 참조할 수 있습니다. 문제가 해결되지 않은 경우 이 가이드의 각 페이지 하단에 있는 피드백 링크를 사용하거나 AWS Key Management Service 토론 포럼에 질문을 게시합니다.

할당량

AWS 계정 또는 리전의 사용자 지정 키 스토어 수에 대한 리소스 할당량은 없습니다. 그러나 AWS CloudHSM 할당량(예: 의 수 AWS CloudHSM 클러스터 각각 AWS 계정 및 지역 AWS KMS 할당량 사용 CMKs 맞춤형 키 스토어에서.

Regions

AWS KMS는 AWS KMS 및 AWS CloudHSM 모두 사용할 수 있는 모든 AWS 리전에서 사용자 지정 키 스토어를 지원합니다. 각 서비스가 지원되는 AWS 리전의 목록은 Amazon Web Services 일반 참조에서 AWS Key Management Service 엔드포인트 및 할당량AWS CloudHSM 엔드포인트 및 할당량 단원을 참조하십시오.

지원되지 않는 기능

사용자 지정 키 매장이 지원하지 않음 비대칭 CMKs, 비대칭 데이터 키 쌍, 또는 CMKs 및 가져온 주요 자재을(를) 활성화할 수 없습니다. 자동 키 회전 에서 CMK 사용자 지정 키 저장소.