특수 용도 키

AWS Key Management Service (AWS KMS) 는 용도에 따라 여러 가지 다른 유형의 키를 지원합니다.

를 AWS KMS key생성하면 기본적으로 대칭 암호화 KMS 키가 생성됩니다. 에서 AWS KMS대칭 암호화 KMS 키는 암호화 및 암호 해독에 사용되는 256비트 AES-GCM 키를 나타냅니다. 단, 중국 지역에서는 SM4 암호화를 사용하는 대칭 128비트 대칭 키를 나타냅니다. AWS KMS 대칭 키 자료는 암호화되지 않은 상태로 유지되지 않습니다. 작업에 비대칭 암호화나 HMAC 키가 명시적으로 필요한 경우가 아니라면 암호화되지 않는 대칭 암호화 KMS 키를 사용하는 것이 좋습니다. AWS KMS 또한 AWS KMS와 통합되는AWS 서비스는 대칭 암호화 KMS 키만을 사용하여 데이터를 암호화합니다. 이러한 서비스는 비대칭 KMS 키를 사용한 암호화를 지원하지 않습니다.

대칭 암호화 KMS 키를 사용하여 데이터를 암호화, 복호화 및 재암호화하고, 데이터 키와 데이터 키 쌍을 생성하고, 임의 바이트 문자열을 생성할 수 있습니다. AWS KMS 대칭 암호화 KMS 키로 자체 키 구성 요소를 가져오고 사용자 지정 키 스토어에서 대칭 암호화 KMS 키를 생성할 수 있습니다. 대칭 및 비대칭 KMS에서 수행할 수 있는 작업을 비교하는 표는 키 유형 참조 섹션을 참조하세요.

AWS KMS 또한 다음과 같은 특수 용도의 KMS 키 유형도 지원합니다.

암호화와 복호화 또는 서명 및 검증을 위한 비대칭 RSA 키
서명 및 확인 또는 공유 암호 도출을 위한 비대칭 ECC 키
암호화와 암호 해독, 서명 및 확인, 공유 암호 도출을 위한 비대칭 SM2 키 (중국 지역만 해당)
해시 기반 메시지 인증 코드 생성 및 확인을 위한 HMAC 키
서로 다른 위치에 있는 동일한 키의 사본처럼 작동하는 다중 지역 키 (대칭 및 비대칭) AWS 리전
사용자가 제공하는 가져온 키 구성 요소가 있는 키
AWS CloudHSM 클러스터 또는 외부의 외부 키 관리자가 지원하는 사용자 지정 키 저장소의 키 AWS

KMS 키 유형 선택

AWS KMS 대칭 암호화 키, 대칭 HMAC 키, 비대칭 암호화 키, 비대칭 서명 키 등 여러 유형의 KMS 키를 지원합니다.

각 KMS 키는 다른 암호화 키 구성 요소를 포함하기 때문에 서로 다릅니다.

대칭적 암호화 KMS 키: 단일 256비트 AES-GCM 암호화 키를 나타냅니다. 단, 중국 리전에서는 128비트 SM4 암호화 키를 나타냅니다. 대칭 AWS KMS 키 자료는 암호화되지 않은 상태로 유지되지 않습니다. 대칭 암호화 KMS 키를 사용하려면 를 호출해야 합니다. AWS KMS

기본 KMS 키인 대칭 암호화 키는 대부분의 용도에 적합합니다. 다른 유형의 키를 사용하라는 지시가 없는 한 KMS 키를 사용하여 데이터를 보호해야 하는 경우 대칭 암호화 키를 사용하십시오. AWS 서비스
비대칭 KMS 키: 암호화와 복호화, 서명 및 확인, 공유 암호 도출에 사용할 수 있는 수학적으로 관련된 공개 키와 개인 키 쌍을 나타냅니다 (한 가지 키 사용 유형을 선택해야 함). 개인 키는 암호화되지 않은 상태로 유지되지 않습니다. AWS KMS AWS KMS API 작업을 AWS KMS 호출하여 공개 키를 사용할 수도 있고, 공개 키를 다운로드하여 외부에서 사용할 수도 있습니다. AWS KMS
HMAC KMS 키(대칭): 해시 기반 메시지 인증 코드를 생성하고 확인하는 데 사용되는 다양한 길이의 대칭 키를 나타냅니다. HMAC KMS 키의 키 구성 요소는 AWS KMS 를 암호화되지 않은 상태로 두지 않습니다. HMAC KMS 키를 사용하려면 를 호출해야 합니다. AWS KMS

생성할 KMS 키 유형은 주로 KMS 키 사용 계획, 보안 요구 사항 및 권한 부여 요구 사항에 따라 결정됩니다. KMS 키를 생성할 때 키 사양 및 키 사용을 포함한 KMS 키의 암호화 구성은 KMS 키를 생성할 때 설정되며 변경할 수 없습니다.

사용 사례에 따라 필요한 KMS 키 유형을 결정하려면 다음 지침을 따르세요.

암호화 및 해독

데이터 암호화 및 해독이 필요한 대부분의 사용 사례에는 대칭 KMS 키를 사용합니다. AWS KMS 에서 사용하는 대칭 암호화 알고리즘은 빠르고 효율적이며 데이터의 기밀성과 신뢰성을 보장합니다. 또한 암호화 컨텍스트로 정의된 추가 인증 데이터(AAD)를 사용하는 인증된 암호화를 지원합니다. 이 유형의 KMS 키를 사용하려면 암호화된 데이터를 보낸 사람과 받는 사람 모두 유효한 AWS 자격 증명을 가지고 있어야 호출할 수 있습니다. AWS KMS

사용 사례에서 전화를 걸 AWS KMS수 없는 AWS 사용자가 암호화하지 않아도 되는 경우 비대칭 KMS 키를 사용하는 것이 좋습니다. 이러한 사용자가 데이터를 암호화할 수 있도록 비대칭 KMS 키의 퍼블릭 키를 배포할 수 있습니다. 또한 해당 데이터의 암호를 해독해야 하는 애플리케이션은 AWS KMS내부에서 비대칭 KMS 키의 프라이빗 키를 사용할 수 있습니다.

메시지 서명 및 서명 확인

메시지에 서명하고 서명을 확인하려면 비대칭 KMS 키를 사용해야 합니다. RSA 키 페어, 타원 곡선(ECC) 키 페어 또는 SM2 키 페어를 나타내는 키 사양을 가진 KMS 키를 사용할 수 있습니다. 선택하는 키 사양은 사용하려는 서명 알고리즘에 따라 결정됩니다. ECC 키 페어에서 지원되는 ECDSA 서명 알고리즘이 RSA 서명 알고리즘보다 권장됩니다. 하지만 외부에서 서명을 확인하는 사용자를 지원하려면 특정 키 사양과 서명 알고리즘을 사용해야 할 수도 있습니다. AWS

비대칭 키 페어로 암호화하세요.

비대칭 키 쌍으로 데이터를 암호화하려면 RSA 키 사양 또는 SM2 키 사양의 비대칭 KMS 키를 사용해야 합니다 (중국 지역만 해당). KMS 키 쌍의 퍼블릭 키로 데이터를 암호화하려면 Encrypt 작업을 사용합니다. AWS KMS 또한 퍼블릭 키를 다운로드하여 AWS KMS외부의 데이터를 암호화해야 하는 당사자와 공유할 수 있습니다.

비대칭 KMS의 퍼블릭 키를 다운로드하면 AWS KMS외부에서 키를 사용할 수 있습니다. 하지만 더 이상 KMS 키를 보호하는 보안 제어의 적용을 받지 않습니다. AWS KMS예를 들어, AWS KMS 키 정책이나 권한 부여를 사용하여 퍼블릭 키 사용을 제어할 수 없습니다. 또한 지원하는 AWS KMS 암호화 알고리즘을 사용하여 키를 암호화 및 복호화에만 사용할지 여부를 제어할 수도 없습니다. 자세한 내용은 퍼블릭 키 다운로드 시 특별 고려 사항을 참조하세요.

외부의 공개 키로 암호화된 데이터를 해독하려면 Decrypt 작업을 호출하십시오. AWS KMS 데이터가 SIGN_VERIFY의 키 사용으로 KMS 키의 퍼블릭 키에서 암호화된 경우 Decrypt 작업이 실패합니다. 선택한 키 사양을 AWS KMS 지원하지 않는 알고리즘을 사용하여 암호화한 경우에도 실패합니다. 키 사양 및 지원되는 알고리즘에 대한 자세한 내용은 비대칭적 키 사양을 참조하세요.

이러한 오류를 방지하려면 외부에서 공개 키를 사용하는 사람은 누구나 키 구성을 AWS KMS 저장해야 합니다. AWS KMS 콘솔과 GetPublicKey응답은 퍼블릭 키를 공유할 때 포함해야 하는 정보를 제공합니다.

공유 비밀 도출

공유 암호를 추출하려면 NIST 권장 타원 곡선이 있는 KMS 키 또는 SM2 (중국 지역만 해당) 키 자료를 사용하십시오. AWS KMS 타원 곡선 암호화 보조 인자 Diffie-Hellman Primitive (ECDH) 를 사용하여 타원 곡선 공개-개인 키 쌍에서 공유 암호를 도출하여 두 동료 간에 키 계약을 체결합니다. DeriveSharedSecret작업이 반환하는 원시 공유 암호를 사용하여 두 당사자 간에 전송되는 데이터를 암호화 및 해독하거나 HMAC를 생성 및 확인할 수 있는 대칭 키를 도출할 수 있습니다. AWS KMS 원시 공유 암호를 사용하여 대칭 키를 도출할 때는 키 파생에 대한 NIST 권장 사항을 따르는 것이 좋습니다.

HMAC 코드 생성 및 확인

해시 기반 메시지 인증 코드를 생성하고 확인하려면 HMAC 키를 사용합니다. 에서 AWS KMS HMAC 키를 생성하면 키 자료가 생성 및 보호되므로 키에 올바른 MAC 알고리즘을 사용할 수 있습니다. AWS KMS HMAC 코드는 의사 난수로 사용할 수도 있으며 대칭 서명 및 토큰화를 위한 특정 시나리오에서도 사용할 수 있습니다.

HMAC KMS 키는 대칭 키입니다. AWS KMS 콘솔에서 HMAC KMS 키를 생성할 때, Symmetric 키 유형을 선택합니다.

서비스와 함께 AWS 사용

통합된 AWS KMS서비스에 사용할 KMS 키를 만들려면 해당AWS 서비스 설명서를 참조하십시오. AWS 데이터를 암호화하는 서비스에는 대칭 암호화 KMS 키가 필요합니다.

이러한 고려 사항 외에도 키 사양이 다른 KMS 키에 대한 암호화 작업에는 가격과 요청 할당량이 다릅니다. 요금에 대한 자세한 내용은 AWS KMS 요금을 참조하십시오.AWS Key Management Service 요청 할당량에 대한 자세한 내용은 요청 할당량 섹션을 참조하세요.

키 사용 선택

KMS 키의 키 사용에 따라 KMS 키가 암호화 및 해독 또는 서명 및 서명 확인 또는 HMAC 태그 생성 및 확인에 사용되는지가 결정됩니다. 각 KMS 키에는 하나의 키 사용만 있습니다. 두 가지 이상의 작업 유형에 KMS를 사용하면 모든 작업의 결과물이 공격에 더 취약해집니다.

각 KMS 키에는 하나의 키 사용만 있을 수 있습니다. 다음 표와 같이 대칭 암호화 KMS 키는 암호화 및 해독에만 사용할 수 있습니다. HMAC KMS 키는 HMAC 코드를 생성하고 확인하는 데에만 사용할 수 있습니다. 비대칭 KMS 키의 키 사용 결정을 내려야 합니다. RSA 키 쌍이 있는 비대칭 KMS 키는 데이터를 암호화하거나 해독하거나 메시지를 서명 및 확인하는 데 사용할 수 있지만 둘 다 사용할 수는 없습니다. NIST 권장 타원 곡선 키 쌍이 있는 비대칭 KMS 키를 사용하여 메시지를 서명 및 확인하거나 공유 암호를 도출할 수 있습니다 (둘 다 아님). ECC_SECG_P256K1키 페어가 있는 비대칭 KMS 키는 메시지 서명 및 확인에만 사용할 수 있습니다. 비대칭 KMS 키와 SM2 (중국 지역만 해당) 키 쌍을 사용하여 데이터를 암호화 및 해독하고, 메시지를 서명 및 확인하거나, 공유 암호를 도출할 수 있습니다 (하나의 키 사용 유형을 선택해야 함).

KMS 키 유형에 유효한 키 사용
KMS 키 유형	암호화 및 해독 ENCRYPT_DECRYPT	서명 및 확인 SIGN_VERIFY	HMAC 생성 및 확인 GENERATE_VERIFY_MAC	공유 암호 도출 키_계약
대칭 암호화 KMS 키
HMAC KMS 키(대칭)
RSA 키 페어가 있는 비대칭 KMS 키
ECC 키 페어가 있는 비대칭 KMS 키				공유 암호를 도출하려면 NIST 권장 타원 곡선 키 자료와 함께 비대칭 KMS 키를 사용해야 합니다.
SM2 키 페어가 있는 비대칭적 KMS 키(중국 리전 전용)

AWS KMS 콘솔에서 먼저 키 유형 (대칭 또는 비대칭) 을 선택한 다음 키 사용을 선택합니다. 선택한 키 유형에 따라 표시되는 키 사용 옵션이 결정됩니다. 선택한 키 사용에 따라 표시되는 키 사양(있는 경우)이 결정됩니다.

콘솔에서 키 사용을 선택하려면: AWS KMS

대칭 암호화 KMS 키(기본값)의 경우 암호화 및 해독(Encrypt and decrypt)를 선택합니다.
HMAC KMS 키의 경우 MAC 생성 및 확인(Generate and verify MAC)을 선택합니다.
NIST 권장 타원 곡선 (ECC) 키 자료가 포함된 비대칭 KMS 키의 경우 서명 및 확인 또는 키 계약을 선택합니다.
키 자료가 포함된 비대칭 KMS 키의 경우 [서명 및 확인] 을 선택합니다. ECC_SECG_P256K1
RSA 키 구성 요소가 있는 비대칭 KMS 키의 경우 암호화 및 해독(Encrypt and decrypt) 또는 서명 및 확인(Sign and verify)을 선택합니다.
SM2 키 구성 요소가 포함된 비대칭 KMS 키의 경우 암호화 및 암호 해독, 서명 및 확인 또는 키 계약을 선택합니다. SM2 키 사양은 중국 리전에서만 사용할 수 있습니다.

보안 주체가 특정 키 사용에 대해서만 KMS 키를 생성할 수 있도록 하려면 kms: 조건 키를 사용하십시오. KeyUsage kms:KeyUsage 조건 키를 사용하여 보안 주체가 해당 키 사용을 기반으로 KMS 키에 대한 API 작업을 호출하도록 허용할 수도 있습니다. 예를 들어 키 사용이 SIGN_VERIFY인 경우에만 KMS 키를 비활성화할 수 있는 권한을 허용할 수 있습니다.

키 사양 선택

비대칭 KMS 또는 HMAC KMS 키를 생성할 때 키 사양(key spec)을 선택합니다. 모든 AWS KMS key속성인 키 사양은 KMS 키의 암호화 구성을 나타냅니다. 키 사양은 KMS 키를 생성할 때 선택하며 이후에는 변경할 수 없습니다. 잘못된 키 사양을 선택한 경우 KMS 키를 삭제하고 새 KMS를 생성합니다.

참고

KMS 키의 키 사양은 “고객 마스터 키 사양”으로 알려졌습니다. CreateKey작업 CustomerMasterKeySpec 파라미터는 더 이상 사용되지 않습니다. 대신 KeySpec 파라미터를 사용합니다. CreateKey및 DescribeKey연산의 응답에는 값이 같은 KeySpec and CustomerMasterKeySpec 멤버가 포함됩니다.

키 사양에 따라 KMS 키가 대칭인지 비대칭인지 여부, KMS 키의 키 구성 요소 유형, KMS 키를 지원하는 AWS KMS 암호화 알고리즘, 서명 알고리즘 또는 MAC (메시지 인증 코드) 알고리즘이 결정됩니다. 선택하는 키 사양은 일반적으로 사용 사례 및 규정 요구 사항에 따라 결정됩니다. 그러나 키 사양이 다른 KMS 키에 대한 암호화 작업은 가격이 다르게 책정되며 할당량도 다릅니다. 요금에 대한 자세한 내용은 AWS Key Management Service Pricing을 참조하세요. 요청 할당량에 대한 자세한 내용은 요청 할당량 섹션을 참조하세요.

계정의 보안 주체가 KMS 키에 사용할 수 있는 키 사양을 결정하려면 kms: 조건 키를 사용하십시오. KeySpec

AWS KMS KMS 키에 대해 다음과 같은 주요 사양을 지원합니다.

대칭 암호화 키 사양(기본값)

SYMMETRIC_DEFAULT

HMAC 키 사양

HMAC_224
HMAC_256
HMAC_384
HMAC_512

RSA 키 사양(암호화 및 해독 또는 서명 및 확인)

RSA_2048
RSA_3072
RSA_4096

타원 곡선 키 사양

NIST에서 권장하는 비대칭 타원 곡선 키 쌍 (서명 및 확인 또는 공유 암호 도출)
- ECC_NIST_P256(secp256r1)
- ECC_NIST_P384(secp384r1)
- ECC_NIST_P521(secp521r1)
기타 비대칭 타원 곡선 키 페어(서명 및 확인)
- ECC_SECG_P256K1(secp256k1), 일반적으로 암호 화폐에 사용됨.

SM2 키 사양 (암호화 및 암호 해독 또는 서명 및 확인 또는 공유 암호 도출)

SM2(중국 리전 전용)

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

권한 테스트

비대칭 키