기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
퍼블릭 키 다운로드
AWS Management Console 또는 AWS KMS API를 사용하여 비대칭 KMS 키 페어의 퍼블릭 키를 보고 복사하고 다운로드할 수 있습니다. 비대칭 KMS 키에 대한 kms:GetPublicKey 권한이 있어야 합니다.
각 비대칭 KMS 키 페어는 절대로 암호화되지 않은 상태로 AWS KMS를 벗어나지 않는 프라이빗 키와 다운로드 및 공유할 수 있는 퍼블릭 키로 구성됩니다.
퍼블릭 키를 공유하여 다른 사용자가 AWS KMS 외부의 데이터를 암호화할 수 있도록 할 수 있습니다(이 데이터는 사용자의 프라이빗 키로만 암호 해독할 수 있음). 또는 사용자가 프라이빗 키로 생성한 디지털 서명을 AWS KMS에서 다른 사용자가 확인하도록 허용할 수 있습니다.
AWS KMS 내부에서 비대칭 KMS 키의 퍼블릭 키를 사용하면 모든 AWS KMS 작업의 일부인 인증, 권한 부여 및 로깅을 활용할 수 있습니다. 또한 해독할 수 없는 데이터 암호화의 위험을 줄일 수 있습니다. 이러한 기능은 AWS KMS 외부에서는 유효하지 않습니다. 자세한 내용은 퍼블릭 키 다운로드 시 특별 고려 사항 섹션을 참조하세요.
작은 정보
데이터 키 또는 SSH 키를 찾고 계십니까? 이 주제에서는 AWS Key Management Service에서 비대칭 키(프라이빗 키를 내보낼 수 없음)를 관리하는 방법에 대해서 설명합니다. 내보낼 수 있는 데이터 키 페어(프라이빗 키가 대칭 암호화 KMS 키로 보호됨)에 대해서는 GenerateDataKeyPair 섹션을 참조하세요. Amazon EC2 인스턴스와 연결된 퍼블릭 키 다운로드에 대한 도움말은 Amazon EC2 Linux 인스턴스용 사용 설명서와 Amazon EC2 Windows 인스턴스용 사용 설명서의 퍼블릭 키 검색 섹션을 참조하세요.
퍼블릭 키 다운로드 시 특별 고려 사항
KMS 키를 보호하기 위해 AWS KMS는 액세스 제어, 인증된 암호화, 모든 작업에 대한 세부 로그를 제공합니다. 또한 AWS KMS는 KMS 키 사용을 일시적으로 또는 영구적으로 방지할 수 있는 옵션도 제공합니다. 마지막으로, AWS KMS 작업은 해독할 수 없는 데이터 암호화의 위험을 최소화하도록 설계되었습니다. AWS KMS 외부에서 다운로드한 퍼블릭 키를 사용하는 경우에는 이러한 기능을 사용할 수 없습니다.
- 승인
-
AWS KMS 내의 KMS 키에 대한 액세스를 제어하는 키 정책 및 IAM 정책은 AWS 외부에서 수행되는 작업에 영향을 미치지 않습니다. 퍼블릭 키를 가져올 수 있는 모든 사용자는 KMS 키로 데이터를 암호화하거나 서명을 확인할 권한이 없더라도 AWS KMS 외부에서 해당 키를 사용할 수 있습니다.
- 키 사용 제한 사항
-
키 사용 제한은 AWS KMS 외부에서는 적용되지 않습니다.
SIGN_VERIFY의KeyUsage가 있는 KMS 키를 사용하여 Encrypt 작업을 호출하면 AWS KMS 작업이 실패합니다. 그러나KeyUsage가SIGN_VERIFY인 KMS 키의 퍼블릭 키를 사용하여 AWS KMS 외부의 데이터를 암호화하는 경우 이 데이터는 해독할 수 없습니다. - 알고리즘 제한 사항
-
AWS KMS가 지원하는 암호화 및 서명 알고리즘에 대한 제한은 AWS KMS 외부에서는 적용되지 않습니다. AWS KMS 외부에서 KMS 키의 퍼블릭 키를 사용하여 데이터를 암호화할 때 AWS KMS가 지원하지 않는 암호화 알고리즘을 사용하는 경우 이 데이터는 해독할 수 없습니다.
- KMS 키 비활성화 및 삭제
-
AWS KMS 내부 암호화 작업에서 KMS 키를 사용할 수 없게 하기 위해 취할 수 있는 조치는 다른 사람이 AWS KMS 외부의 퍼블릭 키를 사용할 수 없도록 하는 것이 아닙니다. 예를 들어 KMS 키를 비활성화하거나, KMS 키 삭제를 예약하거나, KMS 키를 삭제하거나, KMS 키에서 키 구성 요소를 삭제해도 AWS KMS 외부의 퍼블릭 키에는 영향을 주지 않습니다. 비대칭 KMS 키를 삭제하거나 키 구성 요소를 삭제하거나 분실하는 경우 AWS KMS 외부에서 퍼블릭 키로 암호화한 데이터는 복구할 수 없습니다.
- 로깅
-
요청, 응답, 날짜, 시간 및 인증된 사용자를 포함하여 모든 AWS KMS 작업을 기록하는AWS CloudTrail 로그는 AWS KMS 외부에서의 퍼블릭 키 사용을 기록하지 않습니다.
- SM2 키 페어를 사용한 오프라인 인증(중국 리전 전용)
-
AWS KMS 외부에서 SM2 퍼블릭 키로 서명을 인증하려면 고유한 ID를 지정해야 합니다. 기본적으로 AWS KMS는
1234567812345678를 구분 ID로 사용합니다. 자세한 내용은 SM2 키 페어를 사용한 오프라인 인증(중국 리전 전용)을 참조하세요.
퍼블릭 키 다운로드(콘솔)
AWS Management Console을 사용하여 AWS 계정의 비대칭 KMS 키에서 퍼블릭 키를 보고 복사하고 다운로드할 수 있습니다. 다른 AWS 계정 계정의 비대칭 KMS 키에서 퍼블릭 키를 다운로드하려면 AWS KMS API를 사용합니다.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
-
탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.
-
비대칭 KMS 키의 별칭 또는 키 ID를 선택합니다.
-
암호화 구성 탭을 선택합니다. 키 사양, 키 사용 및 암호화 알고리즘 또는 서명 알고리즘 필드의 값을 기록합니다. AWS KMS 외부에서 퍼블릭 키를 사용하려면 이러한 값을 사용해야 합니다. 퍼블릭 키를 공유할 때 이 정보를 공유해야 합니다.
-
퍼블릭 키 탭을 선택합니다.
-
퍼블릭 키를 클립보드에 복사하려면 복사를 선택합니다. 퍼블릭 키를 파일로 다운로드하려면 다운로드를 선택합니다.
퍼블릭 키 다운로드(AWS KMS API)
GetPublicKey 작업은 비대칭 KMS 키의 퍼블릭 키를 반환합니다. 또한 키 사용 및 암호화 알고리즘을 포함하여 AWS KMS 외부에서 올바르게 퍼블릭 키를 사용하는 데 필요한 중요한 정보를 반환합니다. 퍼블릭 키를 공유 할 때마다 이러한 값을 저장하고 공유하세요.
이 섹션의 예제는 AWS Command Line Interface(AWS CLI)
KMS 키를 식별하려면 키 ID, 키 ARN, 별칭 이름 또는 별칭 ARN을 사용합니다. 별칭 이름을 사용할 때 alias/를 접두사를 사용합니다. 다른 AWS 계정에서 KMS 키를 지정하려면 키 ARN 또는 별칭 ARN을 사용해야 합니다.
이 명령을 실행하기 전에 예제 별칭 이름을 KMS 키에 대한 유효한 식별자로 바꾸십시오. 이 명령을 실행하려면 KMS 키에 대한 kms:GetPublicKey 권한이 있어야 합니다.
$aws kms get-public-key --key-idalias/example_RSA_3072{ "KeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }
