퍼블릭 키 다운로드 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

퍼블릭 키 다운로드

AWS Management Console 또는 AWS KMS API를 사용하여 비대칭 CMK 페어의 퍼블릭 키를 보고 복사하고 다운로드할 수 있습니다. 비대칭 CMK에 대한 kms:GetPublicKey 권한이 있어야 합니다.

각 비대칭 CMK 페어는 절대로 암호화되지 않은 상태로 AWS KMS를 벗어나지 않는 프라이빗 키와 다운로드 및 공유할 수 있는 퍼블릭 키로 구성됩니다.

퍼블릭 키를 공유하여 다른 사용자가 AWS KMS 외부의 데이터를 암호화할 수 있도록 할 수 있습니다(이 데이터는 사용자의 프라이빗 키로만 암호 해독할 수 있음). 또는 사용자가 프라이빗 키로 생성한 디지털 서명을 AWS KMS에서 다른 사용자가 확인하도록 허용할 수 있습니다.

AWS KMS 내부에서 비대칭 CMK의 퍼블릭 키를 사용하면 모든 AWS KMS 작업의 일부인 인증, 권한 부여 및 로깅을 활용할 수 있습니다. 또한 해독할 수 없는 데이터 암호화의 위험을 줄일 수 있습니다. 이러한 기능은 AWS KMS 외부에서는 유효하지 않습니다. 세부 정보는 퍼블릭 키 다운로드 시 특별 고려 사항 단원을 참조하십시오.

퍼블릭 키 다운로드 시 특별 고려 사항

CMK를 보호하기 위해 AWS KMS는 액세스 제어, 인증된 암호화, 모든 작업에 대한 세부 로그를 제공합니다. 또한 AWS KMS는 CMK 사용을 일시적으로 또는 영구적으로 방지할 수 있는 옵션도 제공합니다. 마지막으로, AWS KMS 작업은 해독할 수 없는 데이터 암호화의 위험을 최소화하도록 설계되었습니다. AWS KMS 외부에서 다운로드한 퍼블릭 키를 사용하는 경우에는 이러한 기능을 사용할 수 없습니다.

승인

키 정책IAM 정책에서 CMK에 대한 액세스를 제어하는AWS KMS외부에서 수행되는 작업에 영향을 미치지 않습니다.AWS. 공개 키를 얻을 수있는 모든 사용자는 공개 키를 외부에서 사용할 수 있습니다.AWS KMSCMK로 데이터를 암호화하거나 서명을 확인할 권한이 없더라도

키 사용 제한 사항

키 사용 제한은AWS KMS. 호출 하는 경우Encrypt있는 CMK와 함께 작업을KeyUsageSIGN_VERIFY,AWS KMS작업이 실패합니다. 그러나 외부 데이터를 암호화하는 경우AWS KMS를 사용하여 CMK의 퍼블릭 키를KeyUsageSIGN_VERIFY로 설정하면 데이터를 해독할 수 없습니다.

알고리즘 제한 사항

암호화 및 서명 알고리즘에 대한 제한AWS KMS의 외부에서는 유효하지 않습니다.AWS KMS. 외부 CMK에서 퍼블릭 키를 사용하여 데이터를 암호화하는 경우AWS KMS를 사용하고 암호화 알고리즘을 사용하십시오.AWS KMS가 지원되지 않는 경우 데이터를 해독할 수 없습니다.

CMK 비활성화 및 삭제

AWS KMS 내부 암호화 작업에서 CMK를 사용할 수 없게 하기 위해 취할 수 있는 조치는 다른 사람이 AWS KMS 외부의 퍼블릭 키를 사용할 수 없도록 하는 것이 아닙니다. 예를 들어 CMK를 비활성화하거나, CMK 삭제를 예약하거나, CMK를 삭제하거나, CMK에서 키 구성 요소를 삭제해도 AWS KMS 외부의 퍼블릭 키에는 영향을 주지 않습니다. 비대칭 CMK를 삭제하거나 키 구성 요소를 삭제하거나 분실하는 경우 AWS KMS 외부에서 퍼블릭 키로 암호화한 데이터는 복구할 수 없습니다.

로깅

요청, 응답, 날짜, 시간 및 인증된 사용자를 포함하여 모든 AWS KMS 작업을 기록하는AWS CloudTrail 로그는 AWS KMS 외부에서의 퍼블릭 키 사용을 기록하지 않습니다.

퍼블릭 키 다운로드 (콘솔)

를 사용해도 됩니다.AWS Management Console의 비대칭 CMK에서 퍼블릭 키를 보고 복사하고 다운로드할 수 있습니다. AWS 계정 . 다른 CMK에서 퍼블릭 키를 다운로드하려면 AWS 계정 를 사용하려면AWS KMSAPI.

  1. 에 로그인합니다.AWS Management Console를 열려면AWS Key Management Service(AWS KMS) 콘솔에서https://console.aws.amazon.com/kms.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 비대칭 CMK의 별칭 또는 키 ID를 선택합니다.

  5. 를 선택합니다.암호화 구성탭을 클릭합니다. 의 값을 기록합니다.키 사양,키 사용, 및암호화 알고리즘또는서명 알고리즘필드에 로그인합니다. AWS KMS 외부에서 퍼블릭 키를 사용하려면 이러한 값을 사용해야 합니다. 퍼블릭 키를 공유할 때 이 정보를 공유해야 합니다.

  6. 퍼블릭 키 탭을 선택합니다.

  7. 퍼블릭 키를 클립보드에 복사하려면 복사를 선택합니다. 퍼블릭 키를 파일로 다운로드하려면 다운로드를 선택합니다.

퍼블릭 키 다운로드 (AWS KMSAPI)

GetPublicKey 작업은 비대칭 CMK의 퍼블릭 키를 반환합니다. 또한 키 사용 및 암호화 알고리즘을 포함하여 AWS KMS 외부에서 올바르게 퍼블릭 키를 사용하는 데 필요한 중요한 정보를 반환합니다. 퍼블릭 키를 공유 할 때마다 이러한 값을 저장하고 공유하십시오.

이 단원의 예제는 AWS Command Line Interface(AWS CLI)를 사용하지만, 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

CMK를 식별하려면 키 ID, 키 ARN, 별칭 이름 또는 별칭 ARN을 사용합니다. 별칭 이름을 사용할 때 alias/를 접두사를 사용합니다. CMK를 다른 AWS 계정 를 사용하려면 키 ARN 또는 별칭 ARN을 사용해야 합니다.

이 명령을 실행하기 전에 예제 별칭 이름을 CMK에 대한 유효한 식별자로 바꾸십시오. 이 명령을 실행하려면 CMK에 대한 kms:GetPublicKey 권한이 있어야 합니다.

$ aws kms get-public-key --key-id alias/example_RSA_3072 { "CustomerMasterKeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }