키 구성 요소 가져오기 3단계: 키 구성 요소 암호화 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 구성 요소 가져오기 3단계: 키 구성 요소 암호화

퍼블릭 키와 가져오기 토큰을 다운로드한 후 퍼블릭 키를 이용해 키 구성 요소를 암호화합니다. 키 구성 요소는 이진 형식이어야 합니다.

일반적으로 하드웨어 보안 모듈(HSM)이나 키 관리 시스템에서 내보낼 때 키 구성 요소를 암호화합니다. 이진 형식으로 키 구성 요소를 내보내는 방법은 HSM 또는 키 관리 시스템에 대한 문서를 참조하십시오. OpenSSL을 이용해 개념 증명 데모를 제공하는 다음 섹션을 참조할 수도 있습니다.

키 구성 요소를 암호화하려면, 퍼블릭 키와 가져오기 토큰을 다운로드할 때 지정한 패딩 옵션과 함께 암호화 스키마를 사용합니다(RSAES_OAEP_SHA_256, RSAES_OAEP_SHA_1 또는 RSAES_PKCS1_V1_5).

예: OpenSSL 이용해 키 구성 요소 암호화

다음 예는 사용하는 방법을 보여줍니다.OpenSSL을 이용해 256 비트 대칭 키를 생성한 후 이 키 구성 요소를AWS KMS고객 마스터 키 (CMK) 를 이용해 보십시오.

중요

이 예제는 개념 증명 데모로만 제공됩니다. 프로덕션 시스템에서 보안이 강화된 메서드(상용 HSM 또는 키 관리 시스템 등)를 사용해 키 구성 요소를 생성하고 저장합니다.

이 예에서는 RSAES_OAEP_SHA_1 암호화 알고리즘이 가장 이상적입니다. 예제를 실행하기 전에 2단계의 래핑 알고리즘에 RSAES_OAEP_SHA_1을 사용했는지 확인합니다. 필요에 따라 단계를 반복해 퍼블릭 키와 토큰을 다운로드하고 가져옵니다.

OpenSSL을 이용해 이진 키 구성 요소를 생성하고 AWS KMS로 가져오기 위해 암호화하려면

  1. 다음 명령을 이용해 256 비트 대칭 키를 생성하고 PlaintextKeyMaterial.bin이라는 파일에 저장합니다.

    $ openssl rand -out PlaintextKeyMaterial.bin 32
  2. 다음 명령을 이용해 앞서 다운로드한 퍼블릭 키로 키 구성 요소를 암호화하고(퍼블릭 키 및 가져오기 토큰 다운로드 ()AWS KMSAPI) 참조) EncryptedKeyMaterial.bin이라는 파일에 저장합니다. PublicKey.bin을 퍼블릭 키가 포함된 파일 이름으로 바꿉니다. 콘솔에서 퍼블릭 키를 다운로드한 경우, 이 파일 이름은 wrappingKey_CMK_key_ID_timestamp(예: wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909)입니다.

    $ openssl rsautl -encrypt \ -in PlaintextKeyMaterial.bin \ -oaep \ -inkey PublicKey.bin \ -keyform DER \ -pubin \ -out EncryptedKeyMaterial.bin

4단계: 키 구성 요소 가져오기 항목으로 이동합니다.