사용자 지정 키 스토어 사용 - AWS Key Management Service

사용자 지정 키 스토어 사용

AWS KMS는 AWS CloudHSM 클러스터에서 지원하는 사용자 지정 키 스토어를 지원합니다. 사용자 지정 키 스토어에서 AWS KMS key를 생성할 때 AWS KMS는 사용자가 보유하고 관리하는 AWS CloudHSM 클러스터에 추출이 불가능한 KMS 키용 키 구성 요소를 생성하여 저장합니다. 사용자 지정 키 스토어에서 KMS 키를 사용할 때 클러스터의 HSM에서 암호화 작업이 수행됩니다. 이 기능은 AWS KMS의 편의성 및 광범위한 통합 기능과 AWS 계정 의 추가 AWS CloudHSM 클러스터 컨트롤을 하나로 결합합니다.

AWS KMS는 사용자 지정 키 스토어를 생성, 사용 및 관리할 수 있도록 전체 콘솔 및 API를 지원합니다. KMS 키를 사용하는 것과 동일한 방식으로 사용자 지정 키 스토어에서 KMS 키를 사용할 수 있습니다. 예를 들어 KMS 키를 사용해 데이터 키를 생성하고 데이터를 암호화할 수 있습니다. 또한 고객 관리형 KMS 키를 지원하는 AWS 서비스와 함께 사용자 지정 키 스토어에서 KMS 키를 사용할 수 있습니다.

사용자 지정 키 스토어가 필요할까요?

대부분의 사용자의 경우 FIPS 140-2 인증 암호화 모듈로 보호되는 기본 AWS KMS 키 스토어가 보안 요구 사항을 충족합니다. 유지 관리를 책임지는 계층을 추가하거나 추가 서비스에 의존할 필요가 없습니다.

하지만 조직이 다음 요구 사항을 가지고 있는 경우에는 사용자 지정 키 스토어를 생성하는 방법을 고려할 수 있습니다.

  • 키 구성 요소는 공유 환경에 저장할 수 없습니다.

  • 키 구성 요소는 독립적인 보조 감사 경로를 따라야 합니다.

  • 키 구성 요소를 생성하고 저장하는 HSM은 FIPS 140-2 레벨 3에서 인증을 받아야 합니다.

사용자 지정 키 스토어는 어떻게 작동합니까?

각각의 사용자 지정 키 스토어는 AWS 계정 의 AWS CloudHSM 클러스터와 연결됩니다. 사용자 지정 키 스토어를 클러스터에 연결할 때 AWS KMS는 이러한 연결을 지원하는 네트워크 인프라를 생성합니다. 그런 다음 클러스터의 전용 암호화 사용자 자격 증명을 사용하여 클러스터의 키 AWS CloudHSM 클라이언트에 로그인합니다.

사용자 지정 키 스토어는 AWS KMS에서, HSM 클러스터는 AWS CloudHSM에서 생성 및 관리합니다. AWS KMS 사용자 지정 키 스토어에서 AWS KMS keys을 생성하면 AWS KMS에서 KMS 키를 보고 관리합니다. 그러나 클러스터의 다른 키에서와 마찬가지로 AWS CloudHSM에서 키 구성 요소를 확인 및 관리할 수도 있습니다.


      사용자 지정 키 스토어에서 KMS 키 관리

사용자 지정 키 스토어에서 AWS KMS가 생성한 키 구성 요소를 사용하여 대칭 KMS 키를 생성할 수 있습니다. 그런 다음 같은 기법을 사용하여 AWS KMS 키 스토어에서 KMS 키에 사용하는 사용자 지정 키 스토어에서 KMS 키를 확인 및 관리할 수 있습니다. IAM 및 키 정책을 통해 액세스를 제어하고 태그 및 별칭을 생성하며 KMS 키를 활성화 및 비활성화하고 키 삭제를 예약할 수 있습니다. 암호화 작업에서 KMS 키를 사용하고 AWS KMS를 통합한 AWS 서비스와 함께 이들을 사용할 수 있습니다.

뿐만 아니라 HSM 생성 및 삭제하고 백업을 관리하는 등 AWS CloudHSM 클러스터를 완벽하게 제어할 수 있습니다. AWS CloudHSM 클라이언트와 지원되는 소프트웨어 라이브러리를 사용하여 KMS 키를 위한 키 구성 요소를 확인, 감사 및 관리할 수 있습니다. 사용자 지정 키 스토어의 연결이 해제되어 있으면 AWS KMS가 사용자 지정 키 스토어에 액세스할 수 없기 때문에 사용자는 암호화 작업 시 사용자 지정 키 스토어의 KMS 키를 사용할 수 없습니다. 이러한 추가적인 제어 계층 덕분에 사용자 지정 키 스토어는 이를 필요로 하는 조직에게 강력한 솔루션이 될 수 있습니다.

어디에서 시작합니까?

사용자 지정 키 스토어를 생성 및 관리하려면 AWS KMS 및 AWS CloudHSM의 기능을 사용합니다.

  1. AWS CloudHSM에서 시작합니다. 활성 AWS CloudHSM 클러스터를 생성하거나 기존 클러스터를 선택합니다. 클러스터는 서로 다른 가용 영역에 최소 2개의 활성 HSM을 가지고 있어야 합니다. 그런 다음 해당 클러스터에 AWS KMS에 대한 전용 암호화 사용자(CU) 계정을 만듭니다.

  2. AWS KMS에서 선택한 AWS CloudHSM 클러스터와 연결된 사용자 지정 키 스토어를 만듭니다. AWS KMS는 사용자 지정 키 스토어를 만들고, 보고, 편집하고, 삭제할 수 있는 완전한 관리 인터페이스를 제공합니다.

  3. 사용자 지정 키 스토어를 사용할 준비가 되면 이를 연결된 AWS CloudHSM 클러스터에 연결합니다. AWS KMS는 연결을 지원하는 데 필요한 네트워크 인프라를 생성합니다. 그런 다음, 클러스터에서 키 구성 요소를 생성 및 관리할 수 있도록 전용 CU(Crypto User) 계정 자격 증명을 사용해 클러스터에 로그인합니다.

  4. 이제 사용자 지정 키 스토어에서 대칭 KMS 키를 생성할 수 있습니다. KMS 키를 생성할 때 사용자 지정 키 스토어를 지정만 하면 됩니다.

어떤 지점에서 막히면 사용자 지정 키 스토어 문제 해결 주제에서 도움말을 참조할 수 있습니다. 문제가 해결되지 않은 경우 이 가이드의 각 페이지 하단에 있는 피드백 링크를 사용하거나 AWS Key Management Service 토론 포럼(Discussion Forum)에 질문을 게시합니다.

할당량

AWS 계정 또는 리전의 사용자 지정 키 스토어 수에 대한 리소스 할당량은 없습니다. 그러나 AWS CloudHSM 할당량(예: 각 AWS 계정 및 리전의 AWS CloudHSM 클러스터 수에 대한 할당량)과 사용자 지정 키 스토어의 KMS 키 사용에 대한 AWS KMS 할당량이 있습니다.

리전

AWS KMS는 를 제외하고 AWS KMS 및 AWS CloudHSM을 둘 다 사용할 수 있는 모든 AWS 리전 에서 사용자 지정 키 스토어를 지원합니다. 각 서비스에서 지원하는 AWS 리전 의 목록은 Amazon Web Services 일반 참조AWS Key Management Service 엔드포인트 및 할당량AWS CloudHSM 엔드포인트 및 할당량을 참조하십시오.

지원되지 않는 기능

AWS KMS는 사용자 지정 키 스토어에서 다음 기능을 지원하지 않습니다.