사용자 지정 키 스토어란 무엇입니까? - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 키 스토어란 무엇입니까?

이 주제에서는 AWS KMS 사용자 지정 키 스토어에서 사용되는 일부 개념들을 설명합니다.

AWS KMS 사용자 지정 키 스토어

키 스토어는 암호화 키를 저장하기에 안전한 장소입니다. AWS KMS 의 기본 키 스토어는 저장하는 키를 생성 및 관리하는 방법도 지원합니다. 기본적으로 AWS KMS 에서 생성하는 고객 마스터 키 (CMK) 는 하드웨어 보안 모듈 (HSM) 에서 생성되고 보호됩니다.FIPS 140-2 검증을 거친 암호화 모듈를 선택합니다. CMK는 모듈을 암호화되지 않은 상태로 두지 않습니다.

그러나 HSM에 대한 더 많은 제어가 필요한 경우FIPS 140-2 레벨 3에서AWS CloudHSM클러스터를 관리하고 관리할 수 있습니다.

A사용자 지정 키 스토어AWS CloudHSM 클러스터와 연결된 AWS KMS 리소스입니다. 사용자 지정 키 스토어에서 AWS KMS CMK를 생성하면 AWS KMS는 연결 AWS CloudHSM 클러스터에 내보내기가 불가능하고 영구적인 256비트의 고급 암호화 표준 (AES) 대칭 키를 생성합니다. 이 키 구성 요소는 HSM을 암호화되지 않은 상태로 두지 않습니다. 사용자 지정 키 스토어에서 CMK를 사용할 때 클러스터의 HSM에서 암호화 작업이 수행됩니다.

사용자 지정 키 스토어는 AWS KMS 의 편리하고 포괄적인 키 관리 인터페이스와 AWS 계정의 AWS CloudHSM 클러스터가 제공하는 추가 컨트롤을 결합합니다. 이 통합 기능을 사용하면 클러스터, HSM 및 백업 관리를 포함해 키 구성 요소를 저장하는 HSM에 대한 완벽한 제어권을 유지하면서도 AWS KMS 에서 CMK를 생성, 관리 및 사용할 수 있습니다. AWS KMS 콘솔 및 API를 사용하여 사용자 지정 키 스토어와 그 CMK를 관리할 수 있습니다. 또한 AWS CloudHSM 콘솔, API, 클라이언트 소프트웨어 및 연결 소프트웨어 라이브러리를 사용하여 연결 클러스터를 관리할 수도 있습니다.

다음을 할 수 있습니다보기 및 관리사용자 지정 키 스토어속성 편집, 및연결 및 연결 해제연결 AWS CloudHSM 클러스터로부터 사용자 지정 키 스토어의 삭제가 필요한 경우에는 먼저 삭제를 예약하고 유예 기간이 만료될 때까지 기다려서 사용자 지정 키 스토어에서 CMK를 삭제해야 합니다. 사용자 지정 키 스토어를 삭제하면 AWS KMS 에서 리소스가 제거되지만 AWS CloudHSM 클러스터에는 영향이 미치지 않습니다.

AWS CloudHSM 클러스터

모든 AWS KMS 사용자 지정 키 스토어가 AWS CloudHSM 클러스터 하나와 연결됩니다. 사용자 지정 키 스토어에서 고객 마스터 키 (CMK) 를 생성하면 AWS KMS 는 연결 클러스터에 키 구성 요소를 생성합니다. 사용자 지정 키 스토어에서 CMK를 사용할 때 연결 클러스터에서 암호화 작업이 수행됩니다.

각 AWS CloudHSM 클러스터는 단 하나의 사용자 지정 키 스토어에만 연결될 수 있습니다. 사용자가 선택한 클러스터는 다른 키 스토어에 연결되거나 연결 클러스터와 백업 기록을 공유할 수 없습니다. 클러스터는 초기화 및 활성화가 필요하며 AWS 계정 및 리전에서 AWS KMS 사용자 지정 키 스토어로서 존재해야 합니다. 새 클러스터를 생성하거나 기존 클러스터를 사용할 수 있습니다. AWS KMS 는 클러스터를 독점적으로 사용할 필요가 없습니다. 사용자 지정 키 스토어에서 CMK를 생성하려면 연결 클러스터에 활성 HSM이 최소 2개 포함되어 있어야 합니다. 다른 모든 작업에서는 오직 하나의 HSM만 필요합니다.

사용자 지정 키 스토어를 생성할 때 클러스터를 지정할 수 있지만 이를 변경할 수는 없습니다. 한편 다른 클러스터와 백업 기록을 공유하는 모든 클러스터를 대체할 수 있습니다. 이렇게 하면 필요 시 클러스터를 삭제하고 이를 백업 중 하나에서 생성된 클러스터로 바꿀 수 있습니다. 사용자는 사용자 및 키를 관리하고 HSM을 생성 및 삭제하며 백업을 관리할 수 있도록 연결 AWS CloudHSM 클러스터에 대한 완벽한 제어권을 보유합니다.

사용자 지정 키 스토어를 사용할 준비가 되면 연결 AWS CloudHSM 클러스터에 이를 연결합니다. 언제든지 사용자 지정 키 스토어를 연결 및 연결 해제할 수 있습니다. 사용자 지정 키 스토어가 연결되면 CMK를 생성해 사용할 수 있습니다. 연결이 해제되어 있으면 사용자 지정 키 스토어와 그 CMK를 확인 및 관리할 수 있습니다. 그러나 CMK를 새로 생성하거나 암호화 작업을 위해 사용자 지정 키 스토어의 CMK를 사용할 수 없습니다.

kmsuser CU(Crypto User)

사용자를 대신하여 연결된 AWS CloudHSM 클러스터에서 주요 자료를 생성하고 관리하기 위해 AWS KMS 는 전용 AWS CloudHSM을 사용합니다.crypto User(CU) 라는 클러스터의kmsuser를 선택합니다. kmsuser CU는 클러스터의 모든 HSM에 자동으로 동기화되고 클러스터 백업에 저장되는 표준 CU 계정입니다.

사용자 지정 키 스토어를 생성하기 전에를 생성하려면kmsuserCU 계정를 사용하여 AWS CloudHSM 클러스터에서createUser명령을 실행합니다. 그런 다음사용자 지정 키 스토어를 생성하려면를 사용할 경우kmsuser계정 암호를 AWS KMS 에 추가합니다. 다음을 할 때사용자 지정 키 스토어를 연결합니다.를 선택하면 AWS KMS 가 클러스터에kmsuserCU를 사용하고 암호를 회전합니다.

AWS KMS 다음과 같이 로그인되어 있습니다.kmsuser사용자 지정 키 스토어가 연결되어 있는 한 이러한 CU 계정을 다른 목적으로 사용해서는 안 됩니다. 그러나 kmsuser CU 계정에 대한 궁극적인 제어권은 보유할 수 있습니다. 언제든지 다음을 할 수 있습니다.키 핸들 찾기그 키의kmsuser소유합니다. 필요한 경우 사용자 지정 키 스토어의 연결을 해제하고, kmsuser 암호를 변경하고, kmsuser로 클러스터에 로그인하고, kmsuser가 소유하는 키를 확인 및 관리할 수 있습니다.

kmsuser CU 계정 생성에 대한 지침은 kmsuser CU(Crypto User) 생성을 참조하십시오.

사용자 지정 키 스토어의 CMK

AWS Management Console 또는 AWS KMS API를 사용하여고객 마스터 키사용자 지정 키 스토어에서 CMK) 를 저장합니다. AWS KMS CMK에서 사용하는 것과 동일한 기법을 사용합니다. 유일한 차이점은 사용자 지정 키 스토어를 식별하고 키 구성 요소의 오리진을 AWS CloudHSM 클러스터로 지정해야 한다는 점입니다.

다음을 할 때사용자 지정 키 스토어에서 CMK를 생성하려면에서 AWS KMS 는 AWS KMS 에서 CMK를 생성하며 연결 클러스터에 내보내기가 불가능하고 영구적인 256비트의 고급 암호화 표준 (AES) 대칭 백업 키를 생성합니다. AWS CloudHSM 은 다양한 유형의 대칭 및 비대칭 키를 지원하지만 AWS KMS 및 사용자 지정 키 스토어에서는 AES 대칭 키만 지원합니다.

AWS KMS 콘솔의 사용자 지정 키 스토어에서 CMK를 확인하고 콘솔 옵션을 사용해 사용자 지정 키 스토어 ID를 표시할 수 있습니다. 다음을 사용할 수도 있습니다.DescribeKey작업을 실행하여 사용자 지정 키 스토어 ID및 AWS CloudHSM 클러스터 ID를 찾습니다.

사용자 지정 키 스토어의 CMK는 AWS KMS의 CMK와 비슷한 방식으로 작동합니다. 권한 있는 사용자는 CMK를 사용 및 관리하기 위해 동일한 권한이 필요합니다. 동일한 콘솔 절차 및 API 작업을 사용해 사용자 지정 키 스토어에서 CMK를 확인 및 관리할 수 있습니다. CMK 활성화 및 비활성화, 태그 및 별칭 생성 및 사용, IAM 및 키 정책 변경 등이 여기에 포함됩니다. 암호화 작업에서 사용자 지정 키 스토어의 CMK를 사용하고AWS 서비스 통합고객 관리형 CMK 사용을 지원하는 하지만 자동 키 교체를 활성화하거나 사용자 지정 키 스토어에서 CMK로 키 구성 요소를 가져오기 할 수 없습니다.

또한 동일한 프로세스를 사용해 사용자 지정 키 스토어에서 CMK의 삭제를 예약할 수도 있습니다. 대기 기간이 만료되면 AWS KMS 는 KMS에서 CMK를 삭제합니다. 그런 다음 연결 AWS CloudHSM 클러스터에서 CMK의 키 구성 요소를 삭제하기 위해 최선의 노력을 다합니다. 하지만 클러스터 및 백업에서 수동으로 불필요한 키 구성 요소를 삭제하고 싶어할 수 있습니다.