사용자 지정 키 스토어 사용 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 키 스토어 사용

AWS KMS 는 AWS KMS 사용자 지정 키 스토어 클러스터가 지원하는 AWS CloudHSM사용자 지정 키 스토어를 지원합니다. 사용자 지정 키 스토어에서 AWS KMS 고객 마스터 키 (CMK)를 생성하면 는 사용자가 소유하고 관리하는 AWS KMS 클러스터CMK에 에 대한 추출할 수 없는 키 구성 요소를 AWS CloudHSM 생성하고 저장합니다. 사용자 지정 키 스토어CMK에서 를 사용하면 클러스터의 에서 암호화 작업이HSMs 수행됩니다. 이 기능은 AWS KMS의 편의성 및 광범위한 통합 기능과 AWS CloudHSM 계정의 추가 AWS 클러스터 컨트롤을 하나로 결합합니다.

AWS KMS는 사용자 지정 키 스토어를 생성, 사용 및 관리할 수 있도록 전체 콘솔 및 API를 지원합니다. 사용자 지정 키 스토어CMKs에서 를 생성할 때 어떤 와 같은 방식으로든 사용할 수 CMK있습니다. 예를 들어 를 사용하여 데이터 키를 CMKs 생성하고 데이터를 암호화할 수 있습니다. 고객 관리형 를 지원하는 CMKs 서비스와 함께 사용자 지정 키 스토어AWS에서 를 사용할 수도 CMKs있습니다.

사용자 지정 키 스토어가 필요할까요?

대부분의 사용자의 경우 AWS KMSFIPS 140-2 검증 암호화 모듈로 보호되는 기본 키 스토어는 보안 요구 사항을 충족합니다. 유지 관리를 책임지는 계층을 추가하거나 추가 서비스에 의존할 필요가 없습니다.

하지만 조직이 다음 요구 사항을 가지고 있는 경우에는 사용자 지정 키 스토어를 생성하는 방법을 고려할 수 있습니다.

  • 키 구성 요소는 공유 환경에 저장할 수 없습니다.

  • 키 구성 요소는 독립적인 보조 감사 경로를 따라야 합니다.

  • 키 구성 요소를 HSMs 생성하고 저장하는 는 FIPS 140-2 레벨 3에서 인증되어야 합니다.

사용자 지정 키 스토어는 어떻게 작동합니까?

각각의 사용자 지정 키 스토어는 AWS CloudHSM 계정의 AWS 클러스터와 연결됩니다. 사용자 지정 키 스토어를 클러스터에 연결할 때 AWS KMS는 이러한 연결을 지원하는 네트워크 인프라를 생성합니다. 그런 다음 클러스터에 있는 AWS CloudHSM전용 암호화 사용자의 자격 증명을 사용하여 클러스터의 키 클라이언트에 로그인합니다.

사용자 지정 키 스토어는 AWS KMS에서, HSM 클러스터는 AWS CloudHSM.에서 생성 및 관리합니다. 고객 마스터 키 사용자 지정 키 스토어에서 CMKs (AWS KMS)를 생성할 때 CMKs 에서 를 보고 관리합니다AWS KMS. 그러나 클러스터의 다른 키에서와 마찬가지로 AWS CloudHSM에서 키 구성 요소를 확인 및 관리할 수도 있습니다.


      사용자 지정 키 스토어CMKs에서 관리

사용자 지정 키 스토어에서 에 의해 생성된 키 구성 요소를 CMKs 사용하여 대칭을 AWS KMS생성할 수 있습니다. 그런 다음 동일한 기법을 사용하여 키 스토어CMKs에서 에 사용하는 사용자 지정 키 CMKs 스토어AWS KMS에서 를 보고 관리합니다. IAM 및 키 정책을 사용하여 액세스를 제어하고, 태그 및 별칭을 생성하고, 를 활성화 및 비활성화하고CMKs, 키 삭제를 예약할 수 있습니다. 암호화 CMKs 작업에 를 사용하고 와 통합되는 AWS 서비스와 함께 사용할 수 AWS KMS있습니다.

또한 백업 생성 및 삭제AWS CloudHSM와 관리를 포함하여 HSMs 클러스터를 완벽하게 제어할 수 있습니다. AWS CloudHSM 클라이언트 및 지원되는 소프트웨어 라이브러리를 사용하여 에 대한 키 구성 요소를 보고, 감사하고, 관리할 수 있습니다CMKs. 사용자 지정 키 스토어의 연결이 해제되어 있는 동안에는 가 키 스토어에 액세스할 AWS KMS 수 없으며, 사용자는 사용자 지정 키 스토어CMKs의 를 암호화 작업에 사용할 수 없습니다. 이러한 추가적인 제어 계층 덕분에 사용자 지정 키 스토어는 이를 필요로 하는 조직에게 강력한 솔루션이 될 수 있습니다.

어디에서 시작합니까?

사용자 지정 키 스토어를 생성 및 관리하려면 AWS KMS 및 AWS CloudHSM.의 기능을 사용합니다.

  1. 에서 시작합니다.AWS CloudHSM. 활성 AWS CloudHSM 클러스터를 생성하거나 기존 클러스터를 선택합니다. 클러스터는 서로 다른 가용 HSMs 영역에 최소 2개의 활성 가 있어야 합니다. 그런 다음 에 대한 해당 클러스터에서 전용 CU(Crypto User) 계정을 생성합니다AWS KMS.

  2. 에서 선택한 AWS KMS 클러스터와 연결된 사용자 지정 키 스토어 AWS CloudHSM생성합니다. 는 사용자 지정 키 스토어를 생성, 확인, 편집 및 삭제할 수 있는 AWS KMS완전한 관리 인터페이스를 제공합니다.

  3. 사용자 지정 키 스토어를 사용할 준비가 되면 연결된 클러스터AWS CloudHSM에 연결합니다. 는 연결을 지원하는 데 필요한 네트워크 인프라를 AWS KMS 생성합니다. 그런 다음, 클러스터에서 키 구성 요소를 생성 및 관리할 수 있도록 전용 CU(Crypto User) 계정 자격 증명을 사용해 클러스터에 로그인합니다.

  4. 이제 사용자 지정 키 스토어CMKs에서 대칭을 생성할 수 있습니다. 를 생성할 때 사용자 지정 키 스토어를 지정하기만 하면 됩니다CMK.

어떤 지점에서 막히면 사용자 지정 키 스토어 문제 해결 주제에서 도움말을 참조할 수 있습니다. 문제가 해결되지 않은 경우 이 가이드의 각 페이지 하단에 있는 피드백 링크를 사용하거나 에 질문을 게시합니다.AWS Key Management Service 토론 포럼.

할당량

AWS 계정 또는 리전의 사용자 지정 키 스토어 수에 대한 리소스 할당량은 없습니다. 그러나 각 AWS CloudHSM 계정 및 리전의 클러스터 AWS CloudHSM 수에 대한 AWS 할당량과 사용자 지정 키 스토어AWS KMS에서 를 CMKs사용할 때의 할당량과 같은 할당량이 있습니다.

리전

AWS KMS는 AWS 및 AWS KMS 모두 사용할 수 있는 모든 AWS CloudHSM 리전에서 사용자 지정 키 스토어를 지원합니다. 각 서비스가 지원되는 AWS 리전의 목록은 Amazon Web Services 일반 참조에서 AWS Key Management Service 엔드포인트 및 할당량AWS CloudHSM 엔드포인트 및 할당량 단원을 참조하십시오.

지원되지 않는 기능

사용자 지정 키 스토어는 비대칭 CMKs , 비대칭 데이터 키 페어 또는 CMKs 가져온 키 구성 요소를 지원하지 않으므로 사용자 지정 키 스토어의 에 대해 자동 키 교체CMK를 활성화할 수 없습니다.