기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
의 인프라 보안 AWS Key Management Service
관리형 서비스( AWS Key Management Service AWS KMS)는 Amazon Web Services: 보안 프로세스 개요에 설명된 AWS 글로벌 네트워크 보안 절차로 보호됩니다. https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf
네트워크를 AWS KMS 통해에 액세스하려면 AWS KMS API AWS Key Management Service Reference.requires TLS 1.2에 설명된 API 작업을 호출하고 모든 리전에서 TLS 1.3을 권장합니다. AWS KMS 또한는 중국 리전을 제외한 모든 리전의 AWS KMS 서비스 엔드포인트에 대해 하이브리드 포스트 양자 TLS를 지원합니다. AWS KMS 는의 FIPS 엔드포인트에 대해 하이브리드 포스트 양자 TLS를 지원하지 않습니다 AWS GovCloud (US). AWS KMS 표준 AWS KMS 엔드포인트 또는 AWS KMS FIPS 엔트포인트를 사용하려면 클라이언트가 TLS 1.2 이상을 지원해야 합니다. 클라이언트는 Ephemeral Diffie-Hellman(DHE) 또는 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)과 같은 완전 전송 보안(PFS)이 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
또한 요청은 액세스 키 ID 및 IAM 위탁자와 관련된 보안 암호 액세스 키를 사용하여 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 자격 증명을 생성하여 요청에 서명할 수 있습니다.
모든 네트워크 위치에서 이러한 API 작업을 호출할 수 있지만는 소스 IP 주소, VPC 및 VPC 엔드포인트를 기반으로 KMS 키에 대한 액세스를 제어할 수 있는 글로벌 정책 조건을 AWS KMS 지원합니다. 키 정책 및 IAM 정책에서 이러한 조건 키를 사용할 수 있습니다. 그러나 이러한 조건은가 사용자를 대신하여 KMS 키를 AWS 사용하지 못하게 할 수 있습니다. 세부 정보는 AWS 전역 조건 키을 참조하세요.
예를 들어, 다음 키 정책 문을 사용하면 소스 IP 주소가 정책에 AWS KMS key 지정된 IP 주소 중 하나가 아닌 한 KMSTestRole 역할을 수임할 수 있는 사용자가 지정된 암호화 작업에 이를 사용할 수 있습니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSTestRole"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } }
물리적 호스트의 격리
가 AWS KMS 사용하는 물리적 인프라의 보안에는 Amazon Web Services: 보안 프로세스 개요
AWS KMS 는 물리적 공격에 저항하기 위한 특정 제어로 설계된 전용 강화 하드웨어 보안 모듈(HSMs)에서 지원됩니다. HSM은 여러 논리적 테넌트 간에 물리적 장치를 공유하는 하이퍼바이저와 같은 가상화 계층이 없는 물리적 장치입니다. AWS KMS keys 에 대한 키 구성 요소는 HSM의 휘발성 메모리에만 저장되며 KMS 키가 사용되는 동안에만 저장됩니다. 이 메모리는 의도한 종료 및 재설정을 포함하여 HSM이 작동 상태를 벗어나면 지워집니다. AWS KMS HSMs. AWS Key Management Service
