AWS Key Management Service의 데이터 보호 - AWS Key Management Service

AWS Key Management Service의 데이터 보호

AWS Key Management Service는 암호화 키를 저장하고 보호하여 높은 가용성을 제공하는 동시에 강력하고 유연한 액세스 제어를 제공합니다.

데이터 암호화

AWS KMS의 데이터는 AWS KMS keys와 이를 나타내는 암호화 키 구성 요소로 구성됩니다. 이 키 구성 요소는 AWS KMS 하드웨어 보안 모듈(HSM) 내에서만 일반 텍스트로 존재하며 사용 중일 때만 존재합니다. 그렇지 않으면 키 구성 요소가 암호화되어 내구성이 뛰어난 영구 스토리지에 저장됩니다.

AWS KMS가 KMS 키에 대해 생성하는 키 구성 요소는 AWS KMS HSM의 경계를 암호화되지 않은 상태로 두지 않습니다. AWS KMS API 작업에서 내보내거나 전송되지 않습니다.

저장된 데이터 암호화

AWS KMS는 FIPS 140-2 레벨 2 호환 하드웨어 보안 모듈(HSM)에서 AWS KMS keys에 대한 키 구성 요소를 생성합니다. 사용하지 않을 경우 키 구성 요소는 HSM에 의해 암호화되어 내구성이 뛰어난 영구 스토리지에 기록됩니다. KMS 키의 키 구성 요소와 키 구성 요소를 보호하는 암호화 키는 HSM을 일반 텍스트 형식으로 남기지 않습니다.

KMS 키에 대한 키 구성 요소의 암호화 및 관리는 전적으로 AWS KMS에 의해 처리됩니다.

자세한 내용은 AWS Key Management Service 암호화 세부 정보의 AWS KMS keys 작업을 참조하십시오.

전송 중 데이터 암호화

AWS KMS가 KMS 키에 대해 생성한 키 구성 요소는 AWS KMS API 작업에서 내보내거나 전송되지 않습니다. AWS KMS는 키 식별자를 사용하여 API 작업에서 KMS 키를 나타냅니다. 마찬가지로 AWS KMS 사용자 지정 키 스토어의 KMS 키에 대한 키 구성 요소는 AWS KMS 또는 AWS CloudHSM API 작업에서 내보낼 수 없으며 전송할 수 없습니다.

그러나, 일부 AWS KMS API 작업은 데이터 키를 반환합니다. 또한 고객은 API 작업을 사용하여 선택한 KMS 키에 대한 키 구성 요소를 가져옵니다.

모든 AWS KMS API 호출은 서명되어야 하고 전송 계층 보안(TLS)을 사용하여 전송되어야 합니다. AWS KMS는 AWS GovCloud (US)와 중국 리전을 제외한 모든 리전의 AWS KMS 서비스 엔드포인트에 대해 TLS 1.0~1.3과 하이브리드 포스트 양자 TLS를 지원합니다. AWS GovCloud (US) 리전은 AWS KMS 서비스 엔드포인트에 대해 TLS 1.0~1.2만 지원합니다. AWS KMS는 AWS GovCloud (US)의 엔드포인트에 대해 하이브리드 포스트 양자 TLS를 지원하지 않습니다. AWS KMS에서는 항상 최신 지원 TLS 버전을 사용할 것을 권장합니다. AWS KMS에 대한 호출은 또한 완전 순방향 암호화를 지원하는 최신 암호 제품군을 필요로 합니다. 즉, 프라이빗 키와 같은 암호가 손상되어도 세션 키가 손상되지 않습니다.

명령줄 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-2 검증된 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. AWS KMS는 일부 리전의 FIPS 엔드포인트에 대해 전송 계층 보안(TLS) 버전 1.2를 지원합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal Information Processing Standard(FIPS) 140-2를 참조하세요. AWS KMS FIPS 엔드포인트 목록은 AWS 일반 참조에서 AWS Key Management Service 엔드포인트 및 할당량을 참조하십시오.

AWS KMS 서비스 호스트와 HSM 간의 통신은 인증된 암호화 체계에서 Elliptic Curve Cryptography(ECC) 및 Advanced Encryption Standard(AES)를 사용하여 보호됩니다. 자세한 내용은 AWS Key Management Service 암호화 세부 정보의 내부 통신 보안을 참조하십시오.

키 관리

AWS KMS는 고객 데이터를 직접 저장하지 않습니다. 그 대신 AWS KMS가 암호화 키 구성 요소로 뒷받침되는 논리적 엔터티인 AWS KMS keys를 저장하고 보호하는 역할을 합니다.

KMS 키의 키 자료는 FIPS 140-2 레벨 2의 검증된 HSM(하드웨어 보안 모듈)의 분산 제품군에서 지원됩니다. 각 AWS KMS HSM은 독립 실행형 암호화 하드웨어 어플라이언스로, AWS KMS의 보안 및 확장성 요구 사항을 충족하기 위한 전용 암호화 기능을 제공하도록 설계되었습니다.

KMS 키의 키 구성 요소는 HSM 내부에서만 일반 텍스트로 존재하며 키 구성 요소가 생성되거나 암호화 작업에 사용되는 경우에만 존재합니다.

사용하지 않을 때는 HSM에서 키 구성 요소가 암호화되고 암호화된 키 구성 요소는 내구성이 높고 지연 시간이 짧은 영구 스토리지에 기록됩니다. 키 구성 요소를 보호하는 암호화 키는 HSM을 일반 텍스트 형식으로 남기지 않습니다. AWS 서비스 운영자를 포함한 누구도 키 구성 요소 또는 HSM 암호화 키를 일반 텍스트로 내보내거나 볼 수 있는 메커니즘이 없습니다.

선택적 AWS KMS 기능인 사용자 지정 키 스토어를 사용하면 제어하는 AWS CloudHSM 하드웨어 보안 모듈에서 생성된 키 구성 요소로 뒷받침되는 KMS 키를 생성할 수 있습니다. 이러한 HSM은 FIPS 140-2 레벨 3에서 인증됩니다.

또 다른 옵션 기능을 사용하면 KMS 키에 대한 키 구성 요소를 가져올 수 있습니다. 소스에서 AWS KMS로 전송하는 동안 가져온 키 자료는 AWS KMS HSM에서 생성된 RSA 키 쌍을 사용하여 암호화되어야 합니다. 가져온 키 구성 요소는 AWS KMS HSM으로 복호화되고 HSM의 대칭 키로 다시 암호화됩니다. 이러한 작업은 가져온 키 구성 요소가 AWS KMS에서 생성된 키 구성 요소와 함께 저장되기 전에 수행됩니다. 가져온 키 구성 요소는 HSM을 암호화되지 않은 상태로 두지 않습니다. 키 구성 요소를 제공한 고객은 AWS KMS 외부 키 구성 요소를 안전하게 사용하고, 지속적으로 관리 및 유지 보수할 할 책임이 있습니다.

KMS 키 및 키 구성 요소 관리에 대한 자세한 내용은 AWS Key Management Service암호화 세부 정보를 참조하십시오.

인터네트워크 트래픽 개인 정보 보호

AWS KMS는 AWS Management Console 및 AWS KMS keys를 생성 및 관리하고 암호화 작업에서 사용할 수 있는 API 작업 집합을 지원합니다.

AWS KMS는 사설 네트워크에서 AWS로의 두 가지 네트워크 연결 옵션을 지원합니다.

  • 인터넷을 통한 IPSec VPN 연결

  • AWS Direct Connect는 표준 이더넷 광섬유 케이블을 통해 내부 네트워크를 AWS Direct Connect 위치에 연결합니다.

모든 AWS KMS API 호출은 서명되어야 하며 전송 계층 보안(TLS)을 사용하여 전송되어야 합니다. 호출에는 또한 완벽한 순방향 보안을 지원하는 최신 암호 제품군도 필요합니다. KMS 키에 대한 키 구성 요소를 저장하는 하드웨어 보안 모듈(HSM)에 대한 트래픽은 AWS 내부 네트워크를 통해 알려진 AWS KMS API 호스트에서만 허용됩니다.

공용 인터넷을 통해 트래픽을 전송하지 않고 Virtual Private Cloud(VPC)에서 AWS KMS에 직접 연결하려면 AWS PrivateLink에서 제공하는 VPC 엔드포인트를 사용하십시오. 자세한 정보는 VPC 엔드포인트를 통해 AWS KMS에 연결을 참조하십시오.

AWS KMS에서는 전송 계층 보안(TLS) 네트워크 암호화 프로토콜에 대한 하이브리드 포스트 퀀텀 키 교환 옵션을 지원합니다. AWS KMS API 엔드포인트에 연결할 때 TLS와 함께 이 옵션을 사용할 수 있습니다.