사용자 지정 키 스토어란 무엇입니까? - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 키 스토어란 무엇입니까?

이 주제에서는 AWS KMS 사용자 지정 스토어에서 사용되는 일부 개념들을 설명합니다.

AWS KMS 사용자 지정 키 스토어

키 스토어는 암호화 키를 저장하기에 안전한 장소입니다. AWS KMS의 기본 키 스토어는 저장하는 키를 생성 및 관리하는 방법도 지원합니다. 기본적으로 고객 마스터 키 (CMKs)에서 AWS KMS 하드웨어 보안 모듈(hsm)에 의해 생성되고 보호됩니다. FIPS 140-2 인증 암호화 모듈. The CMKs 모듈을 암호화하지 않은 상태로 두지 마십시오.

그러나 hsms를 더 많이 제어할 필요가 있으면 다음과 같은 사용자 지정 키 저장소를 만들 수 있습니다. FIPS 140-2 레벨 3 hsm in an AWS CloudHSM 소유하고 관리하는 클러스터입니다.

사용자 지정 키 스토어는 AWS CloudHSM 클러스터에 연결된 AWS KMS 리소스입니다. 여러분이 AWS KMS CMK 사용자 지정 키 스토어에서 AWS KMS 연관된 AWS CloudHSM 클러스터. 이 키 구성 요소는 HSM을 암호화되지 않은 상태로 두지 않습니다. 귀하가 CMK 사용자 지정 키 스토어에서 암호화 작업은 클러스터의 hsm에서 수행됩니다.

사용자 지정 키 스토어는 AWS KMS의 편리하고 포괄적인 키 관리 인터페이스와 AWS 계정의 AWS CloudHSM 클러스터가 제공하는 추가적인 컨트롤을 하나로 결합합니다. 이 통합 기능은 CMKs 에서 AWS KMS 클러스터, hsm 및 백업을 관리하는 등 주요 자료를 저장하는 hsm을 완벽하게 제어할 수 있습니다. 귀하는 AWS KMS 콘솔 및 API를 사용하여 맞춤형 키 스토어 및 CMKs. 또한 AWS CloudHSM 콘솔, API, 클라이언트 소프트웨어 및 연결 소프트웨어 라이브러리를 사용하여 연결 클러스터를 관리할 수도 있습니다.

사용자 지정 키 스토어의 보기 및 관리, 속성 편집, AWS CloudHSM 클러스터에서의 연결 및 연결 해제가 가능합니다. 필요한 경우 사용자 지정 키 저장소 삭제을(를) 먼저 삭제해야 합니다. CMKs 사용자 지정 키 스토어에서 유예 기간이 만료될 때까지 기다리고 있습니다. 사용자 지정 키 스토어를 삭제하면 AWS KMS에서 리소스가 제거되지만, AWS CloudHSM 클러스터에는 영향이 미치지 않습니다.

AWS CloudHSM 클러스터

모든 AWS KMS 사용자 지정 키 스토어가 하나의 AWS CloudHSM 클러스터에 연결됩니다. 여러분이 고객 마스터 키 (CMK)를 사용해 AWS KMS 관련 클러스터의 키 자료를 만듭니다. 귀하가 CMK 사용자 지정 키 스토어에서 암호화 작업은 관련 클러스터에서 수행됩니다.

각각의 AWS CloudHSM 클러스터는 오직 하나의 사용자 지정 키 스토어에만 연결될 수 있습니다. 사용자가 선택한 클러스터는 다른 키 스토어에 연결되거나 연결 클러스터와 백업 기록을 공유할 수 없습니다. 클러스터는 초기화 및 활성화가 필요하며, AWS 계정 및 리전에서 AWS KMS 사용자 지정 키 스토어로서 존재해야 합니다. 새 클러스터를 생성하거나 기존 클러스터를 사용할 수 있습니다. AWS KMS에서는 클러스터의 독점적 사용이 필요하지 않습니다. 만들려면 CMKs 사용자 지정 키 스토어에서 연결된 클러스터는 최소 2개의 활성 hsm을 포함해야 합니다. 다른 모든 작업에서는 오직 하나의 HSM만 필요합니다.

사용자 지정 키 스토어를 생성할 때 클러스터를 지정할 수 있지만 이를 변경할 수는 없습니다. 한편 다른 클러스터와 백업 기록을 공유하는 모든 클러스터를 대체할 수 있습니다. 이렇게 하면 필요 시 클러스터를 삭제하고 이를 백업 중 하나에서 생성된 클러스터로 바꿀 수 있습니다. 사용자는 사용자 및 키를 관리하고 HSM을 생성 및 삭제하며 백업을 관리할 수 있도록 연결 AWS CloudHSM 클러스터에 대한 완벽한 제어권을 보유합니다.

사용자 지정 키 스토어를 사용할 준비가 되면 연결 AWS CloudHSM 클러스터에 이를 연결합니다. 언제든지 사용자 지정 키 스토어를 연결 및 연결 해제할 수 있습니다. 사용자 지정 키 스토어가 연결되면 CMKs. 연결이 끊어지면 사용자 정의 키 스토어와 CMKs. 하지만 여러분은 CMKs 또는 CMKs 암호화 작업을 위한 사용자 지정 키 저장소를 참조하십시오.

kmsuser CU(Crypto User)

관련된 주요 자료를 생성하고 관리하려면 AWS CloudHSM 클러스터를 대신하여 AWS KMS 전용 AWS CloudHSM crypto 사용자 클러스터 내 CU) kmsuser. kmsuser CU는 클러스터의 모든 hsm과 자동으로 동기화되고 클러스터 백업에 저장되는 표준 CU 계정입니다.

사용자 지정 키 스토어를 생성하기 전에 만들기 kmsuser CU 계정 여러분의 AWS CloudHSM 클러스터를 사용하여 생성사용자 cloudhsm_mgmt_util 명령을 실행합니다. 그리고 사용자 지정 키 스토어를 생성할 때 kmsuser 계정 암호를 AWS KMS에 제공합니다. 사용자 지정 키 스토어를 연결하면 AWS KMS가 kmsuser CU로서 클러스터에 로그인하고 암호를 교체합니다.

사용자 지정 키 스토어가 연결되어 있는 한, AWS KMS는 kmsuser로 로그인한 상태를 유지합니다. 이러한 CU 계정을 다른 목적으로 사용해서는 안 됩니다. 그러나 kmsuser CU 계정에 대한 궁극적인 제어권은 보유할 수 있습니다. 언제든지 kmsuser가 소유하는 키의 키 핸들을 검색할 수 있습니다. 필요한 경우 사용자 지정 키 스토어의 연결을 해제하고, kmsuser 암호를 변경하고, kmsuser로 클러스터에 로그인하고, kmsuser가 소유하는 키를 확인 및 관리할 수 있습니다.

kmsuser CU 계정 생성에 대한 지침은 kmsuser CU(Crypto User) 생성을 참조하십시오.

CMKs 사용자 지정 키 스토어에서

귀하는 AWS Management 콘솔 또는 AWS KMS API를 사용하여 고객 마스터 키 (CMK)를 참조하십시오. 귀하가 사용하는 것과 동일한 기법을 사용합니다. AWS KMS CMK. 한 가지 차이라면 사용자 지정 키 스토어를 식별하고 키 구성 요소의 오리진을 AWS CloudHSM 클러스터로 지정해야 한다는 점입니다.

귀하가 만들기 CMK 사용자 지정 키 스토어에서, AWS KMS 생성 CMK 에서 AWS KMS 관련 클러스터에 256비트, 영구, 비휴대용 AES(Advanced Encryption Standard) 대칭 백킹 키를 생성합니다. AWS CloudHSM이 다양한 유형의 대칭 및 비대칭 키를 지원하지만, AWS KMS와 사용자 지정 키 스토어는 AES 대칭 키만 지원합니다.

귀하는 CMKs 의 사용자 지정 키 스토어에서 AWS KMS 콘솔 및 콘솔 옵션을 사용하여 사용자 지정 키 저장소 ID를 표시합니다. 또한 DescribeKey 작업을 사용해 사용자 지정 키 스토어 ID및 AWS CloudHSM 클러스터 ID를 찾을 수도 있습니다.

The CMKs 고객 맞춤형 키 스토어에서 CMKs 에서 AWS KMS. 승인된 사용자에게는 CMKs. 동일한 콘솔 절차와 API 작업을 사용하여 CMKs 사용자 지정 키 스토어에서. 여기에는 활성화 및 비활성화가 포함됩니다. CMKs, 태그 및 별칭 생성 및 사용, 설정 및 변경 IAM 및 주요 정책. 귀하는 CMKs 암호화 작업을 위한 사용자 지정 키 저장소에서 통합 AWS 서비스 고객 관리를 지원하는 CMKs. 하지만, 자동 키 회전 또는 키 재료 가져오기 a CMK 사용자 지정 키 스토어에서.

동일한 프로세스를 사용하여 스케줄 삭제 of a CMK 사용자 지정 키 스토어에서. 대기 기간 만료 후, AWS KMS 삭제 CMK KMS. 그런 다음, CMK 관련 AWS CloudHSM 클러스터. 하지만 클러스터 및 백업에서 수동으로 불필요한 키 구성 요소를 삭제하고 싶어할 수 있습니다.