기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
키용 AWS KMS 키 자료 가져오기
제공한 키 구성 요소로 AWS KMS keys(KMS 키)를 생성할 수 있습니다.
KMS 키는 암호화 키를 논리적으로 표현한 것입니다. KMS 키의 메타데이터에는 데이터 암호화 및 해독에 사용되는 키 구성 요소의 ID가 포함됩니다. KMS 키를 생성하면 기본적으로 AWS KMS 에서 해당 KMS 키에 대한 구성 요소를 생성합니다. 그러나 키 구성 요소 없이 KMS 키를 생성한 다음 자신의 키 구성 요소를 해당 KMS 키로 가져올 수 있습니다. 이 KMS 키는 종종 “자체 키 사용"(BYOK)이라고 합니다.
참고
AWS KMS AWS KMS 암호문이 가져온 키 자료를 사용하여 KMS 키로 암호화된 경우에도 외부 암호문의 암호 해독을 지원하지 않습니다. AWS KMS AWS KMS 이 작업에 필요한 암호문 형식을 게시하지 않으며 형식이 예고 없이 변경될 수 있습니다.
가져온 키 구성 요소는 사용자 지정 키 스토어의 KMS 키를 제외한 모든 유형의 KMS 키에서 지원됩니다.
가져온 키 자료를 사용하는 경우 키 자료에 대한 책임은 사용자에게 있으며 복사본은 사용할 수 AWS KMS 있습니다. 이렇게 하기로 선택하는 경우는 다음과 같습니다.
-
요구 사항에 부합하는 엔트로피 소스를 사용하여 키 구성 요소를 생성했음을 입증하기 위해.
-
AWS 서비스와 함께 자체 인프라의 주요 자료를 사용하고 서비스 내에서 해당 핵심 자료의 수명 주기를 관리하는 AWS KMS 데 사용합니다 AWS.
-
코드 서명, PKI 인증서 서명 AWS KMS, 인증서 고정 애플리케이션을 위한 키 등 잘 설정된 기존 키를 사용하려면
-
키 자료의 만료 시간을 설정하고 수동으로 AWS 삭제하고 나중에 다시 사용할 수 있도록 하기 위함입니다. 반면 키 삭제를 예약하려면 7 - 30일의 대기 기간이 필요하며, 이 기간이 지나면 삭제한 KMS 키를 복구할 수 없습니다.
-
키 자료의 원본을 소유하고 키 자료의 전체 수명 주기 동안 내구성 강화 및 재해 복구를 AWS 위해 외부에 보관합니다.
-
비대칭 키와 HMAC 키의 경우 가져오면 내부 및 외부에서 작동하는 호환 가능하고 상호 운용 가능한 키가 생성됩니다. AWS
가져온 키 자료를 사용하여 KMS 키의 사용 및 관리를 감사하고 모니터링할 수 있습니다. AWS KMS KMS 키를 생성하고, 래핑 공개 키와 가져오기 토큰을 다운로드하고, 키 자료를 가져올 때 AWS CloudTrail 로그에 이벤트를 기록합니다. AWS KMS 또한 가져온 키 구성 요소를 수동으로 삭제하거나 만료된 키 구성 요소를 삭제할 때 이벤트를 AWS KMS 기록합니다.
가져온 키 구성 요소가 있는 KMS 키와 에서 생성한 AWS KMS키 구성 요소가 있는 KMS 키 간의 중요한 차이점에 대한 자세한 내용은 을 참조하십시오. 가져온 키 구성 요소 정보
지원되는 KMS 키
AWS KMS 다음 유형의 KMS 키에 대해 가져온 키 자료를 지원합니다. 사용자 지정 키 스토어의 KMS 키에 키 구성 요소를 가져올 수 없습니다.
-
비대칭 RSA KMS 키(암호화 또는 서명용, 두 가지 모두를 위한 것은 아님)
-
비대칭 타원 곡선 (ECC) KMS 키 (공유 암호 서명 또는 도출용, 두 가지 모두에 사용 불가)
-
비대칭 SM2 KMS 키 — 중국 지역만 해당 (암호화, 서명 또는 공유 암호 도출용)
-
지원되는 모든 유형의 다중 리전 키
리전
지원되는 모든 항목에서 가져온 키 자료가 지원됩니다. AWS 리전 AWS KMS
중국 지역의 경우 대칭 암호화 KMS 키에 대한 키 자료 요구 사항은 다른 지역과 다릅니다. 자세한 내용은 키 구성 요소 가져오기 3단계: 키 구성 요소 암호화단원을 참조하세요.