AWS Key Management Service(AWS KMS)에서 키 구성 요소 가져오기 - AWS Key Management Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS Key Management Service(AWS KMS)에서 키 구성 요소 가져오기

다음을 생성할 수 있습니다. 고객 마스터 키 (CMK)을 사용하여 을(를) 제공할 수 있습니다.

가 CMK 는 마스터 키. 여기에는 다음이 포함됩니다. 주요 소재 데이터를 암호화하고 해독하는 데 사용되었으며 키 식별자 및 기타 메타데이터. 여러분이 생성 CMK, 기본적으로 AWS KMS 핵심 자료를 만들어냅니다. CMK. 하지만 CMK 주요 자재가 없는 경우, 자신의 주요 자재를 그 자재로 가져올 수 있습니다. CMK, "자신만의 키 만들기"(BYOK)로 알려진 기능.

참고

가져온 키 재료를 사용하여 만든 암호화 텍스트는 휴대할 수 없습니다. 암호화 텍스트는 암호 해독할 수 없습니다. CMK 원 키 재질을 사용하여 AWS KMS.

가져온 키 재질은 대칭만 지원됨 CMKs 에서 AWS KMS 주요 매장. 에서 지원되지 않습니다. 비대칭 CMKs 또는 CMKs 에서 맞춤형 키 스토어.

가져온 키 구성 요소를 사용하는 경우, AWS KMS에서 사본을 사용하도록 허용하는 동시에 키 구성요소에 대한 책임은 유지해야 합니다. 이렇게 하기로 선택하는 경우는 다음과 같습니다.

  • 요구 사항에 부합하는 엔트로피 소스를 사용하여 키 구성 요소를 생성했음을 입증하기 위해.

  • AWS 서비스에서 고유한 인프라의 키 구성 요소를 사용하고 내에서 를 이용해 이 키 구성 요소의 수명 주기를 관리하기 위해.

  • AWS 내에서 키 구성 요소의 만료 시간을 설정하고 수동으로 삭제하되, 나중에 다시 사용 가능하도록 설정하기 위해. 반면, 키 삭제 예약 에는 7~30일의 대기 기간이 필요합니다. 이 기간이 지나면 삭제된 CMK.

  • 키 구성 요소의 전체 수명 주기 동안 내구성 강화와 재해 복구를 목적으로 키 구성 요소의 원본을 소유하고 AWS 외부에 보관하기 위해.

주요 차이점에 대한 정보는 CMKs 에서 생성한 주요 자재와 가져온 주요 자재를 사용하여 AWS KMS, 참조 가져온 키 구성 요소 정보.

가져오는 키 구성 요소는 256비트 대칭 암호화 키여야 합니다.

가져온 키 구성 요소 정보

AWS KMS로 키 구성 요소를 가져오기로 결정하기 전에, 가져온 키 구성 요소의 다음과 같은 특성을 이해해야 합니다.

주요 자료를 생성합니다.

보안 요구 사항을 충족하는 임의성 소스를 사용하여 256비트의 키 자료를 생성하는 것은 귀하의 책임입니다.

주요 재질 변경 불가

주요 자재를 CMK, CMK 은(는) 해당 핵심 자료 와(과) 영구적으로 연결되어 있습니다. 다음을 수행할 수 있습니다. 동일한 주요 자료를 다시 가져옵니다.다른 주요 자재를 가져올 수 없습니다. CMK. 또한 자동 키 회전 활성화 에 대해 CMK 가져온 주요 자재 포함. 그러나, 여러분은 수동으로 회전 CMK 가져온 주요 자재 포함.

다른 암호로 해독할 수 없습니다. CMK

KMS에서 데이터를 암호화할 때 CMK, 암호 텍스트는 다른 암호로 해독할 수 CMK. 동일한 주요 자재를 다른 CMK.

휴대성 또는 에스크로 기능 없음

다음과 같은 암호문구가 AWS KMS 의 생산은 휴대용이 아닙니다. 여기에는 각 암호화 텍스트를 CMK 암호화할 수 있습니다. 암호를 해독할 수 없습니다. AWS KMS 외부 암호화 텍스트 AWS KMS 핵심 자료 를 가지고 있는 경우에도 마찬가지입니다. 다음 사항은 사용할 수 없습니다. AWS 도구(예: AWS 암호화 SDK 또는 Amazon S3 클라이언트 측 암호화, 암호 해독 AWS KMS 암호 텍스트.

따라서 키 자료에 대한 조건부 액세스 권한이 있는 승인된 제3자가 외부 특정 암호화 텍스트를 해독할 수 있는 키 에스크로 계약을 지원하기 위해 가져온 키 자료가 있는 키를 사용할 수 없습니다. AWS KMS. 키 에스크로를 지원하려면 AWS 암호화 SDK 독립된 키로 메시지를 암호화합니다. AWS KMS.

가용성과 내구성에 대한 책임은 여러분에게 있습니다.

키 구성 요소의 가용성과 내구성에 대한 모든 책임을 부담해야 합니다. AWS KMS는 가져온 키 구성 요소의 가용성을 높게 유지하도록 설계되었습니다. 그러나 이 서비스는 가져온 키 구성 요소의 내구성을 자동 생성된 키 구성 요소와 동일한 수준으로 유지하지는 않습니다. 이 차이는 다음과 같은 경우에 의미가 있습니다.

  • 가져온 주요 자재의 만료 시간을 설정할 때, AWS KMS 은(는) 키 자료가 만료된 후 이를 삭제합니다. AWS KMS 삭제하지 않습니다. CMK 또는 메타데이터. 사용자는 AWS KMS가 생성한 키 구성 요소의 만료 시간을 설정할 수 없습니다.

  • 여러분이 가져온 주요 자재를 수동으로 삭제, AWS KMS 주요 자료를 삭제하지만 CMK 또는 메타데이터. 반면, 키 삭제 예약 7~30일의 대기 기간이 필요하며, 그 이후에는 AWS KMS 주요 자료 및 모든 CMK의 메타데이터.

  • 드물지만 서비스에 영향을 미칠 리전 전반에 걸친 장애(완전한 정전 등)가 발생하는 경우, AWS KMS는 가져온 키 구성 요소를 자동으로 복원할 수 없습니다. 그러나, AWS KMS 복원할 수 있는 CMK 및 메타데이터입니다.

이런 이벤트가 발생한 뒤에 키 구성 요소를 복원하려면 제어 시스템 안에 키 구성 요소의 사본이 있어야 합니다. 그런 다음 CMK.

주요 자재 가져오기 권한

가져온 주요 자재로 CMK를 생성 및 관리하려면 사용자는 이 프로세스에서 작업에 대한 권한이 필요합니다. 다음을 제공할 수 있습니다. kms:GetParameterForImport, kms:ImportKeyMaterial, 및 kms:DeleteImportedKeyMaterial CMK를 만들 때 키 정책의 사용 권한. 더 kms:ImportKeyMaterial 권한은 주요 관리자의 기본 권한에 포함되지 않으므로 수동으로 추가해야 합니다.

작성 방법 CMKs 가져온 주요 자재를 사용하는 경우, 프린서펄은 다음 권한이 필요합니다.

  • km:키 생성 (IAM 정책)

    • 이 권한을 다음으로 제한 CMKs 가져온 주요 자재를 사용하여 km:키원산지 값이 인 정책 조건 EXTERNAL.

      { "Version": "2012-10-17", "Statement": { "Sid": "IAM policy to create CMKs with no key material" "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
  • km:가져오기 매개 변수 가져오기 (주요 정책 또는 IAM 정책)

  • km:주요자재 가져오기 (주요 정책 또는 IAM 정책)

    • 유효 기간이 만료되고 유효 기간을 제어하는 주요 자료를 허용하거나 금지하려면 km:만료 모델km:유효 종료 정책 조건.

가져온 주요 자료를 다시 가져오려면, km:가져오기 매개 변수 가져오기km:주요자재 가져오기 권한.

가져온 주요 자료를 삭제하려면, 주요 km:삭제수입품주요 소재 권한.

키 구성 요소를 가져오는 방법

다음 개요에서는 AWS KMS로 키 구성 요소를 가져오는 방법을 설명합니다. 프로세스의 각 단계에 대한 자세한 정보는 해당 주제를 참조하십시오.

  1. 대칭 생성 CMK 주요 소재 없이 – 주요 자재 가져오기를 시작하려면 먼저 대칭 CMK 누구의 출발지 은(는) EXTERNAL. 이는 주요 자료가 외부에서 생성되었음을 나타냅니다. AWS KMS 예방하고 AWS KMS 주요 자재를 생성하여 CMK. 이후 단계에서 여러분은 자신의 핵심 자료를 이 CMK.

  2. 퍼블릭 키와 가져오기 토큰 다운로드 – 1단계를 완료한 후 퍼블릭 키와 가져오기 토큰을 다운로드합니다. 이러한 항목은 키 구성 요소를 AWS KMS로 가져오는 과정을 보호합니다.

  3. 키 구성 요소 암호화 – 2단계에 다운로드한 퍼블릭 키를 사용하여 고유한 시스템에 생성한 키 구성 요소를 암호화합니다.

  4. 키 구성 요소 가져오기 – 3단계에 생성하여 암호화한 키 구성 요소와 2단계에 다운로드한 가져오기 토큰을 업로드합니다.

AWS KMS 에 항목이 기록됩니다. AWS CloudTrail 로그 기록 생성 CMK, 공용 키를 다운로드하고 토큰 가져오기, 및 주요 자재 가져오기. AWS KMS 가져온 주요 자료를 삭제하거나 AWS KMS 만료된 키 자료 삭제.

키 구성 요소를 다시 가져오는 방법

귀하가 CMK 키 자료가 만료되었거나 키 자료가 실수로 삭제 또는 손실되었기 때문에 가져온 키 자료를 다시 가져와야 할 수 있습니다.

원래 로 가져온 것과 동일한 주요 자료를 다시 가져와야 합니다. CMK. 다른 주요 자재를 CMK. 또한, AWS KMS 은(는) 에 대한 주요 자료를 생성할 수 없습니다. CMK 주요 자재 없이 생성됩니다.

키 구성 요소를 다시 가져오려면 처음 키 구성 요소를 가져올 때와 동일한 절차를 사용하되, 다음 예외를 적용합니다.

  • 기존 CMK, 새 을(를) 생성하는 대신 CMK. 가져오기 절차의 1단계를 건너뛸 수 있습니다.

  • 만약 CMK 주요 자료를 포함하고 있으므로 기존 주요 자료 삭제 주요 자료를 다시 가져오기 전에.

주요 자재를 CMK, 다음을 수행해야 합니다. 새 래핑 키 및 가져오기 토큰 다운로드 및 사용 에 대해 CMK. 래핑 절차는 키 구성 요소의 내용에 영향을 주지 않으므로 동일한 키 구성 요소를 다양한 래핑 키(서로 다른 가져오기 토큰)로 가져올 수 있습니다.

식별 방법 CMKs 가져온 주요 자재 사용

사용자가 CMK 핵심 소재 없이 Origin 의 자산 CMK 은(는) EXTERNAL, 을(를) 변경할 수 없습니다. 가져온 키 구성 요소를 사용하도록 설계된 키는 AWS KMS에서 제공하는 키 구성 요소를 사용하도록 변환할 수 없습니다.

여러분은 CMKs 에서 가져온 주요 자재가 필요한 경우 AWS KMS 콘솔을 사용하거나 AWS KMS API.

의 값을 식별하기 위해 Origin 속성 CMKs (console)

  1. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 다음 기술 중 하나를 사용하여 Origin 귀하의 재산 CMKs.

    • 추가 방법 출발지 열에서 CMK 오른쪽 상단 모서리에 있는 설정 아이콘. Origin(오리진)을 확인한 다음 확인을 선택합니다. 더 출발지 컬럼을 통해 쉽게 식별할 수 있습니다. CMKs 을(를) 가진 EXTERNAL 출발지 속성 값.

    • 의 값을 찾으려면 Origin 특정 재산의 CMK의 키 ID 또는 별칭을 선택합니다. CMK. Origin 속성 값은 General configuration(일반 구성) 섹션에 나타납니다.

의 값을 식별하기 위해 Origin 속성 CMKs (AWS KMS API)

DescribeKey 작업을 사용합니다. 답변에는 Origin 의 자산 CMK를 참조하십시오.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Origin": "EXTERNAL", "ExpirationModel": "KEY_MATERIAL_EXPIRES" "ValidTo": 1568894400.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": 1568289600.0, "Enabled": false, "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }