AWS CloudHSM 키 스토어 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 키 스토어

원래 요청 ping에 대한 AWS CloudHSM 키 스토어는 a가 지원하는 사용자 지정 키 스토어입니다. AWS CloudHSM 클러스터. 생성할 때 AWS KMS key사용자 지정 키 스토어에서 AWS KMS 추출할 수 없는 키의 키 자료를 생성하고 저장합니다. KMS AWS CloudHSM 소유하고 관리하는 클러스터. 사용자 지정 KMS 키 스토어의 키를 사용하는 경우 클러스터에서 암호화 작업이 수행됩니다. HSMs 이 기능은 다음과 같은 편리함과 광범위한 통합을 결합합니다. AWS KMS 추가 제어 기능을 통해 AWS CloudHSM 내 클러스터 AWS 계정.

AWS KMS 사용자 지정 키 스토어 생성, 사용 및 관리를 위한 전체 콘솔 및 API 지원을 제공합니다. 다른 KMS 키를 사용하는 것과 같은 방식으로 사용자 지정 키 스토어의 KMS 키를 사용할 수 있습니다. 예를 들어 키를 사용하여 데이터 KMS 키를 생성하고 데이터를 암호화할 수 있습니다. 사용자 지정 키 스토어의 KMS 키를 다음과 같이 사용할 수도 있습니다. AWS 고객 관리 키를 지원하는 서비스.

사용자 지정 키 스토어가 필요할까요?

대부분의 사용자의 경우 기본값입니다. AWS KMS FIPS1402개의 검증된 암호화 모듈로 보호되는 키 스토어는 보안 요구 사항을 충족합니다. 유지 관리를 책임지는 계층을 추가하거나 추가 서비스에 의존할 필요가 없습니다.

하지만 조직이 다음 요구 사항을 가지고 있는 경우에는 사용자 지정 키 스토어를 생성하는 방법을 고려할 수 있습니다.

  • 단일 테넌트 HSM 또는 직접 제어할 수 있는 테넌트에서 명시적으로 보호해야 하는 키가 있습니다. HSM

  • 주요 자료를 즉시 제거할 수 있는 기능이 필요합니다. AWS KMS.

  • 다음과 독립적으로 모든 키 사용을 감사할 수 있어야 합니다. AWS KMS 또는 AWS CloudTrail.

사용자 지정 키 스토어는 어떻게 작동합니까?

각 사용자 지정 키 스토어는 다음과 연결되어 있습니다. AWS CloudHSM 내 클러스터 AWS 계정. 사용자 지정 키 스토어를 클러스터에 연결하면 AWS KMS 연결을 지원하는 네트워크 인프라를 생성합니다. 그런 다음 키에 로그인합니다. AWS CloudHSM 클러스터의 전용 암호화 사용자의 자격 증명을 사용하는 클러스터의 클라이언트.

에서 사용자 지정 키 스토어를 생성하고 관리합니다. AWS KMS 에서 HSM 클러스터를 생성하고 관리할 수 있습니다. AWS CloudHSM. 만들 때 AWS KMS keys 안에 AWS KMS 사용자 지정 키 스토어에서는 KMS 키를 보고 관리할 수 있습니다. AWS KMS. 하지만 다음에서도 주요 자료를 보고 관리할 수 있습니다. AWS CloudHSM클러스터의 다른 키에 대해 수행하는 것과 마찬가지입니다.

사용자 지정 KMS 키 스토어의 키 관리

에서 생성한 키 자료를 사용하여 대칭 암호화 KMS 키를 생성할 수 있습니다. AWS KMS 사용자 지정 키 스토어에서 그런 다음, 사용자 지정 키 스토어의 KMS 키에 사용하는 것과 동일한 기술을 사용하여 사용자 지정 키 스토어의 KMS 키를 보고 관리합니다. AWS KMS 키 스토어. IAM및 키 정책을 사용하여 액세스를 제어하고, 태그와 별칭을 생성하고, KMS 키를 활성화 및 비활성화하고, 키 삭제를 예약할 수 있습니다. 암호화 작업에 KMS 키를 사용할 수 있으며 다음과 같이 사용할 수 있습니다. AWS 다음과 통합되는 서비스 AWS KMS.

또한 사용자는 서비스를 완전히 제어할 수 있습니다. AWS CloudHSM 클러스터 (백업 생성, 삭제HSMs, 관리 포함) 를 사용할 수 있습니다. AWS CloudHSM 클라이언트 및 지원되는 소프트웨어 라이브러리를 사용하여 KMS 키의 키 자료를 보고, 감사하고, 관리할 수 있습니다. 사용자 지정 키 스토어의 연결이 끊긴 동안에는 AWS KMS 액세스할 수 없으며 사용자는 사용자 지정 키 스토어의 KMS 키를 암호화 작업에 사용할 수 없습니다. 이러한 추가적인 제어 계층 덕분에 사용자 지정 키 스토어는 이를 필요로 하는 조직에게 강력한 솔루션이 될 수 있습니다.

어디에서 시작합니까?

생성 및 관리하기 AWS CloudHSM 키 스토어는 다음 기능을 사용합니다. AWS KMS 그리고 AWS CloudHSM.

  1. 시작: AWS CloudHSM. 액티브 만들기 AWS CloudHSM 클러스터를 선택하거나 기존 클러스터를 선택합니다. 클러스터에는 서로 다른 가용 영역에서 두 개 이상의 활성 상태가 HSMs 있어야 합니다. 그런 다음 해당 클러스터에 전용 암호화 사용자 (CU) 계정을 생성하여 다음을 수행할 수 있습니다. AWS KMS.

  2. In AWS KMS, 선택한 것과 관련된 사용자 지정 키 스토어를 생성하십시오. AWS CloudHSM 클러스터. AWS KMS 사용자 지정 키 스토어를 만들고, 보고, 편집하고, 삭제할 수 있는 완벽한 관리 인터페이스를 제공합니다.

  3. 사용자 지정 키 스토어를 사용할 준비가 되면 관련 키 스토어에 연결하세요. AWS CloudHSM 클러스터. AWS KMS 연결을 지원하는 데 필요한 네트워크 인프라를 생성합니다. 그런 다음, 클러스터에서 키 구성 요소를 생성 및 관리할 수 있도록 전용 CU(Crypto User) 계정 자격 증명을 사용해 클러스터에 로그인합니다.

  4. 이제 사용자 지정 키 스토어에 대칭 암호화 KMS 키를 생성할 수 있습니다. 키를 생성할 때 사용자 지정 키 스토어를 지정하기만 하면 됩니다KMS.

어떤 지점에서 막히면 사용자 지정 키 스토어 문제 해결 주제에서 도움말을 참조할 수 있습니다. 질문에 대한 답변이 없는 경우 이 가이드의 각 페이지 하단에 있는 피드백 링크를 사용하거나 다음 사이트에 질문을 게시하십시오. AWS Key Management Service 토론 포럼.

할당량

AWS KMS 각 저장소에 최대 10개의 사용자 지정 키 저장소가 허용됩니다. AWS 계정 및 지역 (둘 다 포함) AWS CloudHSM 연결 상태에 상관없이 스토어와 외부 키 스토어. 또한 다음과 같은 것들이 있습니다. AWS KMS KMS키 사용에 대한 할당량 요청 AWS CloudHSM 키 스토어.

요금

비용에 대한 자세한 내용은 AWS KMS 사용자 지정 키 스토어의 사용자 지정 키 스토어 및 고객 관리 키는 다음을 참조하십시오. AWS Key Management Service 가격 책정. 비용에 대한 자세한 내용은 AWS CloudHSM 클러스터 및HSMs, 을 참조하십시오. AWS CloudHSM 가격 책정.

리전

AWS KMS 지원 AWS CloudHSM 모든 주요 매장 AWS 리전 여기서 각 항목은 다음과 같습니다. AWS KMS 아시아 태평양 (멜버른), 중국 (베이징), 중국 (닝샤), 유럽 (스페인) 을 제외하고 지원됩니다.

지원되지 않는 기능

AWS KMS 사용자 지정 키 스토어에서는 다음 기능을 지원하지 않습니다.