AWS KMS의 HMAC 키

해시 기반 메시지 인증 코드(HMAC) KMS 키는 AWS KMS 내에서 HMAC를 생성 및 확인하는 데 사용하는 대칭 키입니다. 각 HMAC KMS 키와 관련된 고유한 키 구성 요소는 HMAC 알고리즘에 필요한 비밀 키를 제공합니다. GenerateMac 및 VerifyMac 작업과 함께 HMAC KMS 키를 사용하여 AWS KMS 내에서 데이터 무결성 및 신뢰성을 확인할 수 있습니다.

HMAC 알고리즘은 암호화 해시 함수와 공유 비밀 키를 결합합니다. HMAC KMS 키의 키 구성 요소와 같은 메시지와 비밀 키를 가져와서 고정된 크기의 고유한 코드 또는 태그를 반환합니다. 메시지의 한 문자라도 변경되거나 비밀 키가 동일하지 않은 경우 결과 태그는 완전히 달라집니다. 비밀 키를 요구함으로써 HMAC는 신뢰성도 제공합니다. 비밀 키가 없다면 동일한 HMAC 태그를 생성할 수 없습니다. HMAC는 디지털 서명처럼 작동하지만 서명과 확인 모두에 단일 키를 사용하기 때문에 대칭 서명이라고도 합니다.

AWS KMS가 사용하는 HMAC KMS 키와 HMAC 알고리즘은 RFC 2104에 정의된 산업 표준을 준수합니다. 이 AWS KMS GenerateMac작업은 표준 HMAC 태그를 생성합니다. HMAC KMS 키는 중국(베이징) 및 중국(닝샤) 리전을 제외하고 FIPS 140-2 암호화 모듈 검증 프로그램에 따라 인증된 AWS KMS 하드웨어 보안 모듈에서 생성되며, AWS KMS를 암호화되지 않은 상태로 두지 않습니다. HMAC KMS 키를 사용하려면 AWS KMS를 호출해야 합니다.

HMAC KMS 키를 사용하여 JSON 웹 토큰(JWT), 토큰화된 신용 카드 정보 또는 제출된 암호와 같은 메시지의 신뢰성을 결정할 수 있습니다. 특히 결정적 키가 필요한 애플리케이션에서 안전한 키 추출 함수(KDF)로 사용할 수도 있습니다.

HMAC KMS 키는 키 구성 요소가 AWS KMS 내에서 완전히 생성되어 사용되고 키에 설정한 액세스 제어가 적용되기 때문에, 애플리케이션 소프트웨어에서 HMAC 이상의 이점을 제공합니다.

작은 정보

모범 사례에서는 HMAC을 비롯한 모든 서명 메커니즘이 유효한 시간을 제한하는 것이 좋습니다. 이렇게 하면 행위자가 서명된 메시지를 사용하여 반복적으로나 메시지가 대체된 후 유효성을 설정하는 공격을 차단합니다. HMAC 태그에는 타임스탬프가 포함되지 않지만 토큰이나 메시지에 타임스탬프를 포함시켜 HMAC 새로 고침 시간을 감지할 수 있습니다.

권한 있는 사용자는 AWS 계정에서 HMAC KMS 키를 생성, 관리 및 사용할 수 있습니다. 여기에는 키 사용 및 사용 중지, 별칭 및 태그 설정 및 변경, HMAC KMS 키의 예약 삭제가 포함됩니다. 또한 키 정책, IAM 정책 및 권한 부여를 사용하여 HMAC KMS 키에 대한 액세스를 제어할 수도 있습니다. AWS CloudTrail 로그의 AWS에서 HMAC KMS 키를 사용하거나 관리하는 모든 작업을 감사할 수 있습니다. 가져온 키 구성 요소가 있는 HMAC KMS 키를 생성할 수 있습니다. 다중 AWS 리전에서 동일한 HMAC KMS 키의 사본처럼 동작하는 HMAC 다중 리전 KMS 키를 생성할 수도 있습니다.

HMAC KMS 키는 GenerateMac 및 VerifyMac 암호화 작업만을 지원합니다. HMAC KMS 키를 사용하여 데이터를 암호화하거나 메시지에 서명하거나 HMAC 작업에서 다른 유형의 KMS 키를 사용할 수 없습니다. GenerateMac 작업을 사용할 때 최대 4,096바이트의 메시지, HMAC KMS 키 및 HMAC 키 사양과 호환되는 MAC 알고리즘을 제공하고, GenerateMac이 HMAC 태그를 계산합니다. HMAC 태그를 확인하려면 HMAC 태그와 GenerateMac에서 원래 HMAC 태그를 계산하는 데 사용하는 동일한 메시지, HMAC KMS 키 및 MAC 알고리즘을 제공해야 합니다. VerifyMac 작업은 HMAC 태그를 계산하고 제공된 HMAC 태그와 동일한지 확인합니다. 입력 태그와 계산된 HMAC 태그가 동일하지 않으면 확인이 실패합니다.

HMAC KMS 키는 자동 키 교체를 지원하지 않으며 사용자 지정 키 스토어에서 HMAC KMS 키를 생성할 수 없습니다.

AWS 서비스에서 데이터를 암호화하기 위해 KMS 키를 생성하는 경우 대칭 암호화 키를 사용합니다. HMAC KMS 키를 사용할 수 없습니다.

리전

HMAC KMS 키는 AWS KMS에서 지원하는 모든 AWS 리전에서 지원됩니다.

자세히 알아보기

KMS 키 유형 선택에 대한 도움말은 KMS 키 유형 선택 섹션을 참조하세요.
각 유형의 KMS 키가 지원하는 AWS KMS API 작업을 비교하는 테이블은 키 유형 참조 섹션을 참조하세요.
다중 리전 HMAC KMS 키 생성에 대한 자세한 내용은 AWS KMS의 다중 리전 키 섹션을 참조하세요.
AWS KMS 콘솔이 HMAC KMS 키에 대해 설정하는 기본 키 정책의 차이점을 검토하려면 키 사용자가 AWS 서비스와 함께 KMS 키를 사용하도록 허용 섹션을 참조하세요.
HMAC KMS 키 요금에 대한 자세한 내용은 AWS Key Management Service 가격 책정 섹션을 참조하세요.
HMAC KMS 키에 적용되는 할당량에 대한 자세한 내용은 리소스 할당량 및 요청 할당량 섹션을 참조하세요.
HMAC KMS 키 삭제에 대한 자세한 내용은 AWS KMS keys 삭제 섹션을 참조하세요.
HMAC을 사용하여 JSON 웹 토큰을 생성하는 방법에 대한 자세한 내용은 AWS 보안 블로그의 AWS KMS 내부에서 HMAC를 보호하는 방법을 참조하세요.
공식 AWS 팟캐스트에서 AWS Key Management Service를 위한 HMAC 소개 팟캐스트를 들어보세요.

주제

HMAC KMS 키의 키 사양

AWS KMS는 다양한 길이의 대칭 HMAC 키를 지원합니다. 선택하는 키 사양은 보안, 규정 또는 비즈니스 요구 사항에 따라 달라질 수 있습니다. 키 길이에 따라 GenerateMac및 VerifyMac작업에 사용되는 MAC 알고리즘이 결정됩니다. 일반적으로 더 긴 키는 더 안전합니다. 사용 사례에 맞는 가장 긴 키를 사용합니다.

HMAC 키 사양	MAC 알고리즘
HMAC_224	HMAC_SHA_224
HMAC_256	HMAC_SHA_256
HMAC_384	HMAC_SHA_384
HMAC_512	HMAC_SHA_512

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

비대칭 키 사양

HMAC 키 생성