퍼블릭 키 다운로드 - AWS Key Management Service

퍼블릭 키 다운로드

AWS Management Console 또는 AWS KMS API를 사용하여 비대칭 KMS 키 페어의 퍼블릭 키를 보고 복사하고 다운로드할 수 있습니다. 비대칭 KMS 키에 대한 kms:GetPublicKey 권한이 있어야 합니다.

각 비대칭 KMS 키 페어는 절대로 암호화되지 않은 상태로 AWS KMS를 벗어나지 않는 프라이빗 키와 다운로드 및 공유할 수 있는 퍼블릭 키로 구성됩니다.

퍼블릭 키를 공유하여 다른 사용자가 AWS KMS 외부의 데이터를 암호화할 수 있도록 할 수 있습니다(이 데이터는 사용자의 프라이빗 키로만 암호 해독할 수 있음). 또는 사용자가 프라이빗 키로 생성한 디지털 서명을 AWS KMS에서 다른 사용자가 확인하도록 허용할 수 있습니다.

AWS KMS 내부에서 비대칭 KMS 키의 퍼블릭 키를 사용하면 모든 AWS KMS 작업의 일부인 인증, 권한 부여 및 로깅을 활용할 수 있습니다. 또한 해독할 수 없는 데이터 암호화의 위험을 줄일 수 있습니다. 이러한 기능은 AWS KMS 외부에서는 유효하지 않습니다. 자세한 내용은 퍼블릭 키 다운로드 시 특별 고려 사항 단원을 참조하세요.

작은 정보

데이터 키 또는 SSH 키를 찾고 계십니까? 이 주제에서는 프라이빗 키를 내보낼 수 없는 AWS Key Management Service에서 비대칭 키를 관리하는 방법에 대해서 설명합니다. 프라이빗 키를 대칭 암호화 KMS 키로 보호하는 내보낼 수 있는 데이터 키 페어는 GenerateDataKeyPair 단원을 참조하세요. Amazon EC2 인스턴스와 연결된 퍼블릭 키 다운로드에 대한 도움말은 Linux 인스턴스용 Amazon EC2 사용 설명서Windows 인스턴스용 Amazon EC2 사용 설명서퍼블릭 키 검색 단원을 참조하세요.

퍼블릭 키 다운로드 시 특별 고려 사항

KMS 키를 보호하기 위해 AWS KMS는 액세스 제어, 인증된 암호화, 모든 작업에 대한 세부 로그를 제공합니다. 또한 AWS KMS는 KMS 키 사용을 일시적으로 또는 영구적으로 방지할 수 있는 옵션도 제공합니다. 마지막으로, AWS KMS 작업은 해독할 수 없는 데이터 암호화의 위험을 최소화하도록 설계되었습니다. AWS KMS 외부에서 다운로드한 퍼블릭 키를 사용하는 경우에는 이러한 기능을 사용할 수 없습니다.

승인

AWS KMS 내의 KMS 키에 대한 액세스를 제어하는 키 정책IAM 정책은 AWS 외부에서 수행되는 작업에 영향을 미치지 않습니다. 퍼블릭 키를 가져올 수 있는 모든 사용자는 KMS 키로 데이터를 암호화하거나 서명을 확인할 권한이 없더라도 AWS KMS 외부에서 해당 키를 사용할 수 있습니다.

키 사용 제한 사항

키 사용 제한은 AWS KMS 외부에서는 적용되지 않습니다. SIGN_VERIFYKeyUsage가 있는 KMS 키를 사용하여 Encrypt 작업을 호출하면 AWS KMS 작업이 실패합니다. 그러나 KeyUsageSIGN_VERIFY인 KMS 키의 퍼블릭 키를 사용하여 AWS KMS 외부의 데이터를 암호화하는 경우 이 데이터는 복호화할 수 없습니다.

알고리즘 제한 사항

AWS KMS가 지원하는 암호화 및 서명 알고리즘에 대한 제한은 AWS KMS 외부에서는 적용되지 않습니다. AWS KMS 외부에서 KMS 키의 퍼블릭 키를 사용하여 데이터를 암호화할 때 AWS KMS가 지원하지 않는 암호화 알고리즘을 사용하는 경우 이 데이터는 복호화할 수 없습니다.

KMS 키 비활성화 및 삭제

AWS KMS 내부 암호화 작업에서 KMS 키를 사용할 수 없게 하기 위해 취할 수 있는 조치는 다른 사람이 AWS KMS 외부의 퍼블릭 키를 사용할 수 없도록 하는 것이 아닙니다. 예를 들어 KMS 키를 비활성화하거나, KMS 키 삭제를 예약하거나, KMS 키를 삭제하거나, KMS 키에서 키 구성 요소를 삭제해도 AWS KMS 외부의 퍼블릭 키에는 영향을 주지 않습니다. 비대칭 KMS 키를 삭제하거나 키 구성 요소를 삭제하거나 분실하는 경우 AWS KMS 외부에서 퍼블릭 키로 암호화한 데이터는 복구할 수 없습니다.

로깅

요청, 응답, 날짜, 시간 및 인증된 사용자를 포함하여 모든 AWS KMS 작업을 기록하는AWS CloudTrail 로그는 AWS KMS 외부에서의 퍼블릭 키 사용을 기록하지 않습니다.

퍼블릭 키 다운로드(콘솔)

AWS Management Console을 사용하여 AWS 계정의 비대칭 KMS 키에서 퍼블릭 키를 보고 복사하고 다운로드할 수 있습니다. 다른 AWS 계정 계정의 비대칭 KMS 키에서 퍼블릭 키를 다운로드하려면 AWS KMS API를 사용합니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 비대칭 KMS 키의 별칭 또는 키 ID를 선택합니다.

  5. 암호화 구성 탭을 선택합니다. 키 사양, 키 사용암호화 알고리즘 또는 서명 알고리즘 필드의 값을 기록합니다. AWS KMS 외부에서 퍼블릭 키를 사용하려면 이러한 값을 사용해야 합니다. 퍼블릭 키를 공유할 때 이 정보를 공유해야 합니다.

  6. 퍼블릭 키 탭을 선택합니다.

  7. 퍼블릭 키를 클립보드에 복사하려면 복사를 선택합니다. 퍼블릭 키를 파일로 다운로드하려면 다운로드를 선택합니다.

퍼블릭 키 다운로드(AWS KMS API)

GetPublicKey 작업은 비대칭 KMS 키의 퍼블릭 키를 반환합니다. 또한 키 사용 및 암호화 알고리즘을 포함하여 AWS KMS 외부에서 올바르게 퍼블릭 키를 사용하는 데 필요한 중요한 정보를 반환합니다. 퍼블릭 키를 공유 할 때마다 이러한 값을 저장하고 공유하십시오.

이 단원의 예제는 AWS Command Line Interface(AWS CLI)를 사용하지만, 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

KMS 키를 식별하려면 키 ID, 키 ARN, 별칭 이름 또는 별칭 ARN을 사용합니다. 별칭 이름을 사용할 때 alias/를 접두사를 사용합니다. 다른 AWS 계정에서 KMS 키를 지정하려면 키 ARN 또는 별칭 ARN을 사용해야 합니다.

이 명령을 실행하기 전에 예제 별칭 이름을 KMS 키에 대한 유효한 식별자로 바꾸십시오. 이 명령을 실행하려면 KMS 키에 대한 kms:GetPublicKey 권한이 있어야 합니다.

$ aws kms get-public-key --key-id alias/example_RSA_3072 { "KeySpec": "RSA_3072", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeyUsage": "ENCRYPT_DECRYPT", "EncryptionAlgorithms": [ "RSAES_OAEP_SHA_1", "RSAES_OAEP_SHA_256" ], "PublicKey": "MIIBojANBgkqhkiG..." }