사용자 지정 키 스토어란 무엇입니까? - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 키 스토어란 무엇입니까?

이 주제에서는 AWS KMS 사용자 지정 스토어에서 사용되는 일부 개념들을 설명합니다.

AWS KMS 사용자 지정 키 스토어

키 스토어는 암호화 키를 저장하기에 안전한 장소입니다. AWS KMS의 기본 키 스토어는 저장하는 키를 생성 및 관리하는 방법도 지원합니다. 기본적으로 AWS KMS에서 생성한 고객 마스터 키(CMK)는 FIPS 140-2 검증을 거친 암호화 모듈인 하드웨어 보안 모듈(HSM)에서 생성되고 보호됩니다. CMK는 모듈을 암호화되지 않은 상태로 두지 않습니다.

그러나 HSM에 대한 더 많은 제어가 필요한 경우FIPS 140-2 레벨 3에서AWS CloudHSM클러스터가 소유하고 관리됩니다.

사용자 지정 키 스토어는 AWS CloudHSM 클러스터에 연결된 AWS KMS 리소스입니다. 사용자가 사용자 지정 키 스토어에서 AWS KMS CMK를 생성하면 AWS KMS는 연결 AWS CloudHSM 클러스터에 내보내기가 불가능하고 영구적인 256비트의 고급 암호화 표준(AES) 대칭 키를 생성합니다. 이 키 구성 요소는 HSM을 암호화되지 않은 상태로 두지 않습니다. 사용자 지정 키 스토어에서 CMK를 사용할 때 클러스터의 HSM에서 암호화 작업이 수행됩니다.

사용자 지정 키 스토어는 편리하고 포괄적인 키 관리 인터페이스를 하나로 결합합니다.AWS KMS에서 제공하는 추가 컨트롤과AWS CloudHSM클러스터 클러스터 AWS 계정 . 이러한 통합 기능 덕분에 클러스터, HSM 및 백업 관리를 포함해 키 구성 요소를 저장하는 HSM에 대한 완벽한 제어권을 유지하면서도 AWS KMS에서 CMK를 생성, 관리 및 사용할 수 있습니다. AWS KMS 콘솔 및 API를 사용해 사용자 지정 키 스토어와 그 CMK를 관리할 수 있습니다. 또한 AWS CloudHSM 콘솔, API, 클라이언트 소프트웨어 및 연결 소프트웨어 라이브러리를 사용하여 연결 클러스터를 관리할 수도 있습니다.

다음을 수행할 수 있습니다보기 및 관리사용자 지정 키 스토어속성 편집, 및연결 및 연결 해제관련 된AWS CloudHSM클러스터 클러스터. 사용자 지정 키 스토어의 삭제가 필요한 경우에는 먼저 삭제를 예약하고 유예 기간이 만료될 때까지 기다려서 사용자 지정 키 스토어에서 CMK를 삭제해야 합니다. 사용자 지정 키 스토어를 삭제하면 AWS KMS에서 리소스가 제거되지만, AWS CloudHSM 클러스터에는 영향이 미치지 않습니다.

AWS CloudHSM 클러스터

모든 AWS KMS 사용자 지정 키 스토어가 하나의 AWS CloudHSM 클러스터에 연결됩니다. 사용자가 사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 생성하면 AWS KMS가 연결 클러스터에 키 구성 요소를 생성합니다. 사용자 지정 키 스토어에서 CMK를 사용할 때 연결 클러스터에서 암호화 작업이 수행됩니다.

각각의 AWS CloudHSM 클러스터는 오직 하나의 사용자 지정 키 스토어에만 연결될 수 있습니다. 사용자가 선택한 클러스터는 다른 키 스토어에 연결되거나 연결 클러스터와 백업 기록을 공유할 수 없습니다. 클러스터는 초기화 및 활성화가 이루어져야 하며, 클러스터는 동일한 AWS 계정 및 리전을AWS KMS사용자 지정 키 스토어 새 클러스터를 생성하거나 기존 클러스터를 사용할 수 있습니다. AWS KMS에서는 클러스터의 독점적 사용이 필요하지 않습니다. 사용자 지정 키 스토어에서 CMK를 생성하려면 연결 클러스터에 활성 HSM이 최소 2개 포함되어 있어야 합니다. 다른 모든 작업에서는 오직 하나의 HSM만 필요합니다.

사용자 지정 키 스토어를 생성할 때 클러스터를 지정할 수 있지만 이를 변경할 수는 없습니다. 한편 다른 클러스터와 백업 기록을 공유하는 모든 클러스터를 대체할 수 있습니다. 이렇게 하면 필요 시 클러스터를 삭제하고 이를 백업 중 하나에서 생성된 클러스터로 바꿀 수 있습니다. 사용자는 사용자 및 키를 관리하고 HSM을 생성 및 삭제하며 백업을 관리할 수 있도록 연결 AWS CloudHSM 클러스터에 대한 완벽한 제어권을 보유합니다.

사용자 지정 키 스토어를 사용할 준비가 되면 연결 AWS CloudHSM 클러스터에 이를 연결합니다. 언제든지 사용자 지정 키 스토어를 연결 및 연결 해제할 수 있습니다. 사용자 지정 키 스토어가 연결되면 CMK를 생성해 사용할 수 있습니다. 연결이 해제되어 있으면 사용자 지정 키 스토어와 그 CMK를 확인 및 관리할 수 있습니다. 그러나 CMK를 새로 생성하거나 암호화 작업을 위해 사용자 지정 키 스토어의 CMK를 사용할 수 없습니다.

kmsuser CU(Crypto User)

연관된 에서 주요 재료를 작성하고 관리하려면AWS CloudHSM클러스터 대신AWS KMS전용AWS CloudHSM 암호 사용자(CU) 라는 클러스터의kmsuser. kmsuser CU는 클러스터의 모든 HSM에 자동으로 동기화되고 클러스터 백업에 저장되는 표준 CU 계정입니다.

사용자 지정 키 스토어를 생성하기 전에생성kmsuserCU 계정귀하의AWS CloudHSM클러스터 클러스터 사용createUser명령을 실행할 수 있습니다. 그리고 사용자 지정 키 스토어를 생성할 때 kmsuser 계정 암호를 AWS KMS에 제공합니다. 사용자 지정 키 스토어를 연결하면 AWS KMS가 kmsuser CU로서 클러스터에 로그인하고 암호를 교체합니다.

사용자 지정 키 스토어가 연결되어 있는 한, AWS KMS는 kmsuser로 로그인한 상태를 유지합니다. 이러한 CU 계정을 다른 목적으로 사용해서는 안 됩니다. 그러나 kmsuser CU 계정에 대한 궁극적인 제어권은 보유할 수 있습니다. 언제든지 다음을 수행할 수 있습니다.키 핸들 찾기그 키의kmsuser소유합니다. 필요한 경우 사용자 지정 키 스토어의 연결을 해제하고, kmsuser 암호를 변경하고, kmsuser로 클러스터에 로그인하고, kmsuser가 소유하는 키를 확인 및 관리할 수 있습니다.

kmsuser CU 계정 생성에 대한 지침은 kmsuser CU(Crypto User) 생성을 참조하십시오.

사용자 지정 키 스토어의 CMK

AWS Management Console 또는 AWS KMS API를 사용해 사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 생성할 수 있습니다. AWS KMS CMK에서 사용하는 것과 동일한 기법을 사용합니다. 한 가지 차이라면 사용자 지정 키 스토어를 식별하고 키 구성 요소의 오리진을 AWS CloudHSM 클러스터로 지정해야 한다는 점입니다.

사용자가 사용자 지정 키 스토어에서 CMK를 생성하면 AWS KMS가 AWS KMS에서 CMK를 만들고 연결 클러스터에 내보내기가 불가능하고 영구적인 256비트의 고급 암호화 표준(AES) 대칭 백업 키를 생성합니다. AWS CloudHSM이 다양한 유형의 대칭 및 비대칭 키를 지원하지만, AWS KMS와 사용자 지정 키 스토어는 AES 대칭 키만 지원합니다.

AWS KMS 콘솔의 사용자 지정 키 스토어에서 CMK를 확인하고 콘솔 옵션을 사용해 사용자 지정 키 스토어 ID를 표시할 수 있습니다. 또한 DescribeKey 작업을 사용해 사용자 지정 키 스토어 ID및 AWS CloudHSM 클러스터 ID를 찾을 수도 있습니다.

사용자 지정 키 스토어의 CMK는 AWS KMS의 모든 CMK와 비슷한 방식으로 작동합니다. 권한 있는 사용자는 CMK를 사용 및 관리하기 위해 동일한 권한이 필요합니다. 동일한 콘솔 절차 및 API 작업을 사용해 사용자 지정 키 스토어에서 CMK를 확인 및 관리할 수 있습니다. CMK 활성화 및 비활성화, 태그 및 별칭 생성 및 사용, 및 키 정책 변경 등이 여기에 포함됩니다. 암호화 작업에서 사용자 지정 키 스토어의 CMK를 사용하고, 고객 관리형 CMK 사용을 지원하는 통합 AWS 서비스와 함께 이를 사용할 수 있습니다. 하지만 자동 키 교체를 활성화하거나 사용자 지정 키 스토어에서 CMK로 키 구성 요소를 가져오기 할 수 없습니다.

또한 동일한 프로세스를 사용해 사용자 지정 키 스토어에서 CMK의 삭제를 예약할 수도 있습니다. 대기 기간이 만료되면 AWS KMS는 KMS에서 CMK를 삭제합니다. 그런 다음, 연결 AWS CloudHSM 클러스터에서 CMK의 키 구성 요소를 삭제하기 위해 최선의 노력을 다합니다. 하지만 클러스터 및 백업에서 수동으로 불필요한 키 구성 요소를 삭제하고 싶어할 수 있습니다.