다중 영역 키 사용 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 영역 키 사용

AWS KMS은 를 지원합니다.다중 리전 키다른 AWS 리전 여러 지역에서 동일한 키를 가지고있는 것처럼 서로 바꿔 사용할 수 있습니다. 각 세트관련다중 지역 키는 동일한키 구성 요소키 ID로 데이터를 암호화 할 수 있습니다. AWS 리전 다른 AWS 리전 다시 암호화하거나 교차 지역 호출을 하지 않고AWS KMS.

모든 CMK와 마찬가지로 다중 지역 키는AWS KMS암호화되지 않습니다. 암호화 또는 서명을 위해 대칭 또는 비대칭 다중 영역 키를 만들고가져온 키 재질이 있는 다중 영역 키또는 키 구성 요소AWS KMS이 생성됩니다. 다음을 수행해야 합니다.각 다중 리전 키 관리에서 별칭과 태그 생성, 주요 정책 및 권한 부여 설정, 선택적으로 활성화 및 비활성화 등의 작업을 수행할 수 있습니다. 단일 지역 키로 수행할 수 있는 모든 암호화 작업에서 다중 지역 키를 사용할 수 있습니다.

다중 지역 키는 많은 일반적인 데이터 보안 시나리오를 위한 유연하고 강력한 솔루션입니다.

재해 복구

백업 및 복구 아키텍처에서 다중 지역 키를 사용하면 암호화된 데이터를 중단 없이 처리할 수 있습니다. AWS 리전 중단. 백업 지역에서 유지 관리되는 데이터는 백업 지역에서 해독할 수 있으며, 백업 지역에서 새로 암호화된 데이터는 해당 지역이 복원될 때 기본 지역에서 해독할 수 있습니다.

글로벌 데이터 관리

전 세계적으로 운영되는 기업에는 전 세계적으로 분산된 데이터가 필요하고 AWS 리전 . 데이터가 상주하는 모든 지역에서 다중 지역 키를 만든 다음 교차 리전 호출의 지연 시간 또는 각 지역의 다른 키로 데이터를 다시 암호화하는 비용 없이 단일 리전 키인 것처럼 키를 사용할 수 있습니다.

분산 서명 응용 프로그램

교차 리전 서명 기능이 필요한 응용 프로그램은 다중 리전 비대칭 서명 키를 사용하여 동일한 디지털 서명을 일관되고 반복적으로 다른 AWS 리전 .

단일 글로벌 신뢰 저장소 (단일 루트 CA (인증 기관) 및 루트 CA에서 서명한 지역 중간 CA의 경우 인증서 체인을 사용하는 경우 다중 지역 키가 필요하지 않습니다. 그러나 시스템에서 응용 프로그램 서명과 같은 중간 CA를 지원하지 않는 경우 다중 지역 키를 사용하여 지역 인증에 일관성을 유지할 수 있습니다.

여러 지역에 걸친 액티브-액티브 애플리케이션

일부 워크로드 및 애플리케이션은 액티브-액티브 아키텍처에서 여러 지역에 걸쳐 있을 수 있습니다. 이러한 응용 프로그램의 경우 다중 지역 키는 지역 경계를 넘어 이동할 수 있는 데이터에 대한 동시 암호화 및 암호 해독 작업에 동일한 키 자료를 제공하여 복잡성을 줄일 수 있습니다.

클라이언트 측 암호화 라이브러리와 함께 다중 지역 키를 사용할 수 있습니다 (예:AWS Encryption SDK,DynamoDB 암호화 클라이언트, 및Amazon S3 클라이언트 측 암호화. Amazon DynamoDB 글로벌 테이블 및 DynamoDB 암호화 클라이언트에서 다중 리전 키를 사용하는 예는글로벌 데이터 클라이언트 측 암호화AWS KMS다중 리전 키의AWS보안 블로그.

AWS와 통합되는AWS KMS의 암호화 또는 디지털 서명은 현재 다중 지역 키를 단일 지역 키인 것처럼 취급합니다. 지역간에 이동 된 데이터를 다시 래핑하거나 다시 암호화하는 것을 피하지 않습니다. 예를 들어, Amazon S3 교차 리전 복제는 다중 리전 키로 보호된 객체를 복제하는 경우에도 대상 리전의 CMK 아래에 있는 데이터를 해독하고 다시 암호화합니다.

다중 지역 키는 전역이 아닙니다. 다중 리전 기본 키를 만든 다음AWSpartition. 그런 다음 각 리전에 있는 다중 리전 키를 독립적으로 관리합니다. 둘 다AWSnorAWS KMS는 사용자를 대신하여 다중 지역 키를 임의의 지역에 자동으로 생성하거나 복제합니다.AWS관리형 CMK, CMK는AWS서비스는 항상 단일 지역 키입니다.

기존 단일 영역 키는 다중 영역 키로 변환할 수 없습니다. 이러한 설계는 기존 단일 영역 키로 보호되는 모든 데이터가 동일한 데이터 상주 및 데이터 주권 속성을 유지하도록 보장합니다.

대부분의 데이터 보안 요구 사항에 따라 지역 리소스의 지역별 격리 및 내결함성이 표준AWS KMS단일 영역 CMK는 가장 적합한 솔루션입니다. 그러나 여러 지역의 클라이언트 측 응용 프로그램에서 데이터를 암호화하거나 서명해야 하는 경우 다중 지역 키가 해결책일 수 있습니다.

리전

다중 지역 키는 모든 AWS 리전 그AWS KMS중국 (베이징) 및 중국 (닝샤) 를 제외하고 지원됩니다.

및 할당량

관련 다중 지역 키 집합의 각 CMK는 가격 책정 및 할당량에 대해 하나의 CMK로 계산됩니다.AWS KMS할당량는 계정의 각 리전에 대해 별도로 계산됩니다. 각 리전에서 다중 리전 키의 사용 및 관리는 해당 리전의 할당량에 포함됩니다.

다중 리전 키에 대한 보안 고려 사항

사용AWS KMS다중 지역 키는 필요할 때만 사용할 수 있습니다. 다중 리전 키는 암호화된 데이터를 AWS 리전 또는 교차 리전 액세스가 필요합니다. 여러 지역에서 보호된 데이터를 공유, 이동 또는 백업해야 하거나 다른 지역에서 작동하는 응용 프로그램의 동일한 디지털 서명을 만들어야 하는 경우 다중 리전 키를 고려하십시오.

그러나 다중 영역 키를 만드는 프로세스는 키 재질을 AWS 리전 경계AWS KMS. 다중 지역 키에 의해 생성된 암호문은 여러 지리적 위치에 있는 여러 관련 키에 의해 해독될 수 있습니다. 또한 지역적으로 격리된 서비스 및 리소스에도 상당한 이점이 있습니다. EAC AWS 리전 은 격리되어 있으며 다른 리전에서 독립적입니다. 리전에서는 내결함성, 안정성 및 복원성을 지원하고 지연 시간을 줄일 수도 있습니다. 이를 통해 가용 상태를 유지하며 다른 리전의 중단의 영향을 받지 않는 중복 리소스를 생성할 수 있습니다. InAWS KMS, 그들은 또한 모든 암호문을 하나의 키로 해독 할 수 있는지 확인합니다.

또한 다중 지역 키는 새로운 보안 고려 사항을 제기합니다.

  • 다중 리전 키를 사용하면 액세스 제어 및 데이터 보안 정책 적용이 더욱 복잡해집니다. 격리된 여러 지역의 키에 대해 정책을 일관되게 감사해야 합니다. 또한 별도의 키에 의존하는 대신 정책을 사용하여 경계를 적용해야합니다.

    예를 들어, 한 지역의 급여 팀이 다른 지역의 급여 데이터를 읽을 수 없도록 데이터에 대한 정책 조건을 설정해야 합니다. 또한 한 지역의 다중 지역 키가 한 테넌트의 데이터를 보호하고 다른 지역의 관련 다중 지역 키가 다른 테넌트의 데이터를 보호하는 시나리오를 방지하려면 액세스 제어를 사용해야 합니다.

  • 지역 간 키 감사 또한 더 복잡합니다. 다중 리전 키를 사용하면 여러 리전의 감사 활동을 검사하고 조정하여 보호된 데이터에 대한 주요 활동을 완벽하게 이해할 수 있어야 합니다.

  • 데이터 상주 규정 준수는 더욱 복잡할 수 있습니다. 격리된 지역을 사용하면 데이터 상주 및 데이터 주권 준수를 보장할 수 있습니다. 지정된 지역의 CMK는 해당 지역의 민감한 데이터만 해독할 수 있습니다. 한 지역에서 암호화된 데이터는 완전히 보호되고 다른 지역에서는 액세스할 수 없게 됩니다.

    다중 지역 키로 데이터 상주 및 데이터 주권을 확인하려면 액세스 정책을 구현하고AWS CloudTrail이벤트를 여러 지역에서 사용할 수 있습니다.

다중 지역 키에 대한 액세스 제어를 더 쉽게 관리할 수 있도록 다중 지역 키 (KMS:복제 키) 는 키를 만들 수있는 표준 권한과 별개입니다 (KMS:만들기 키). 또한,AWS KMS를 포함한 다중 지역 키에 대한 여러 정책 조건을 지원합니다.kms:MultiRegion를 사용하여 다중 지역 키를 생성, 사용 또는 관리할 수 있는 권한을 허용하거나 거부합니다.kms:ReplicaRegion를 사용하여 다중 리전 키를 복제할 수 있는 리전을 제한합니다. 자세한 내용은 단원을 참조하십시오다중 지역 키에 대한 액세스 제어

다중 리전 키의 작동 방식

먼저 대칭 또는 비대칭다중 리전 기본 키에서 AWS 리전 그AWS KMS에서 US East (N. Virginia) 와 같이 지원합니다. 키를 만들 때만 키가 단일 지역인지 또는 다중 지역인지를 결정합니다. 나중에 이 속성을 변경할 수 없습니다. CMK와 마찬가지로 CMK에 대한 주요 정책을 설정하고 권한 부여를 생성하고 분류 및 권한 부여를 위한 별칭 및 태그를 추가할 수 있습니다. (이들은독립다른 키와 공유되거나 동기화되지 않습니다.) 암호화 또는 서명에 대한 암호화 작업에 다중 지역 기본 키를 사용할 수 있습니다.

다음을 수행할 수 있습니다다중 리전 기본 키 생성의AWS KMS콘솔을 사용하여 또는CreateKeyAPI 사용MultiRegion매개 변수를 로 설정합니다.true. 다중 지역 키에는 다음과 같이 시작하는 고유 키 ID가 있습니다.mrk-. 이mrk-접두사를 사용하여 프로그래밍 방식으로 MRK를 식별합니다.

원하는 경우복제다중 리전 기본 키를 하나 이상의 AWS 리전 동일한AWSpartition유럽 (아일랜드) 와 같은 그렇게 할 때AWS KMS는복제본 키동일한 키 ID와 다른 지정된 지역에서공유 등록 정보을 기본 키로 갖고 있습니다. 그런 다음 지역 경계에 걸쳐 주요 자료를 안전하게 운반하고 대상 지역의 새로운 CMK와 연결합니다.AWS KMS. 결과는 두 가지입니다.관련다중 리전 키 (기본 키 및 복제본 키) 를 서로 바꿔서 사용할 수 있습니다.

다음을 수행할 수 있습니다다중 리전 복제본 키 생성의AWS KMS콘솔을 사용하여 또는복제 키API 사용

결과입니다.다중 리전 복제본 키는 동일한 기능을 가진 완전히 기능적인 CMK입니다.공유 등록 정보을 기본 키로 갖고 있습니다. 다른 모든 측면에서, 그것은 자체 설명, 주요 정책, 부여, 별칭 및 태그를 가진 독립적 인 CMK입니다. 다중 지역 키를 사용하거나 사용하지 않도록 설정해도 관련된 다중 지역 키에는 영향을 주지 않습니다. 기본 키와 복제 키를 암호화 작업에서 독립적으로 사용하거나 사용을 조정할 수 있습니다. 예를 들어 미국 동부 (버지니아 북부) 지역의 기본 키를 사용하여 데이터를 암호화하고, 데이터를 유럽 (아일랜드) 리전으로 이동하고, 복제 키를 사용하여 데이터를 해독할 수 있습니다.

관련 다중 지역 키는 동일한 키 ID를 갖습니다. 주요 ARN (Amazon 리소스 이름) 은 리전 필드에서만 다릅니다. 예를 들어 다중 리전 기본 키 및 복제본 키에는 다음 예제 키 ARN이 있을 수 있습니다. 키 ID (키 ARN 의 마지막 요소) 는 동일합니다. 두 키 모두 다중 지역 키의 고유 키 ID를 가지며mrk-.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

상호 운용성을 위해서는 동일한 키 ID가 필요합니다. 암호화할 때AWS KMS는 CMK의 키 ID를 암호문에 바인딩하므로 동일한 키 ID를 가진 CMK 또는 CMK로만 암호문을 해독할 수 있습니다. 또한 이 기능을 사용하면 관련 다중 영역 키를 쉽게 인식할 수 있으며 상호 교환 방식으로 쉽게 사용할 수 있습니다. 예를 들어 응용 프로그램에서 이러한 키를 사용하는 경우 공유 키 ID로 관련 다중 지역 키를 참조할 수 있습니다. 그런 다음 필요한 경우 리전 또는 ARN 지정하여 구분합니다.

데이터 요구 사항이 변경되면 기본 키를 다른 AWS 리전 미국 서부 (오레곤) 및 아시아 태평양 (시드니) 과 같은 파티션에 있습니다. 결과는 네 가지입니다.관련다음 다이어그램과 같이 동일한 키 구성 요소 및 키 ID를 가진 다중 리전 CMK입니다. 키를 독립적으로 관리합니다. 독립적으로 또는 조정 된 방식으로 사용할 수 있습니다. 예를 들어 아시아 태평양 (시드니) 의 복제본 키를 사용하여 데이터를 암호화하고, 데이터를 미국 서부 (오레곤) 로 이동한 다음, 미국 서부 (오레곤) 의 복제 키를 사용하여 암호를 해독할 수 있습니다.


                다중 리전 CMK의 기본 및 복제본 키

다중 지역 키에 대한 기타 고려 사항은 다음과 같습니다.

공유 속성 동기화공유 속성다중 영역 키 변경,AWS KMS에서 변경 내용을 자동으로 동기화합니다.기본 키의 모든복제본 키. 공유 속성의 동기화를 요청하거나 강제 실행할 수 없습니다.AWS KMS가 모든 변경 사항을 감지하고 동기화합니다. 그러나 사용 하 여 동기화를 감사 할 수 있는다중 영역 키 동기화이벤트를 CloudTrail 로그에 저장합니다.

예를 들어 대칭 다중 영역 기본 키에서 자동 키 회전을 활성화하면AWS KMS는 해당 설정을 모든 복제 키에 복사합니다. 키 재질이 회전되면 모든 관련 다중 영역 키 간에 회전이 동기화되므로 동일한 현재 키 재질을 가지며 모든 이전 버전의 키 재질에 액세스할 수 있습니다. 새 복제 키를 만들면 관련된 모든 다중 영역 키와 동일한 현재 키 재질을 가지며 이전 버전의 키 재질에 액세스할 수 있습니다. 자세한 내용은 단원을 참조하십시오다중 영역 키 회전

기본 키 변경— 모든 다중 지역 키 세트에는 정확히 하나의 기본 키가 있어야 합니다. 이기본 키는 복제 할 수있는 유일한 키입니다. 또한 복제 키의 공유 속성의 소스이기도합니다. 하지만 기본 키를 복제본으로 변경하고 복제본 키 중 하나를 기본 키로 승격할 수 있습니다. 특정 지역에서 다중 지역 기본 키를 삭제하거나 프로젝트 관리자와 더 가까운 지역에서 기본 키를 찾을 수 있도록 이 작업을 수행할 수 있습니다. 자세한 내용은 단원을 참조하십시오기본 리전 업데이트

다중 영역 키 삭제— 모든 CMK와 마찬가지로 다중 리전 키의 삭제를 예약해야 합니다.AWS KMS가 해당 항목을 삭제합니다. 키가 삭제 대기 중인 동안에는 어떤 암호화 작업에도 사용할 수 없습니다. 그러나,AWS KMS는 모든 복제 키가 삭제될 때까지 다중 리전 기본 키를 삭제하지 않습니다. 자세한 내용은 단원을 참조하십시오다중 영역 키 삭제

Concepts

다중 리전 키와 함께 사용되는 용어와 개념은 다음과 같습니다.

다중 리전 키

A다중 리전 키는 동일한 키 ID와 키 자료를 가진 CMK 집합 중 하나입니다 (그리고 다른공유 등록 정보) 다른 AWS 리전 . 각 다중 지역 키는 완벽하게 작동하는 CMK이며 관련 다중 지역 키와 완전히 독립적으로 사용할 수 있습니다. 왜냐하면 모든관련다중 영역 키는 동일한 키 ID와 키 재질을 가지며상호 운용성, 즉, 모든 관련 다중 지역 키 AWS 리전 는 다른 관련 다중 지역 키로 암호화 된 암호문을 해독 할 수 있습니다.

CMK를 작성할 때 CMK의 다중 영역 특성을 설정합니다. 기존 키에서는 이 속성을 변경할 수 없습니다. 따라서 기존 워크로드를 다중 지역 시나리오로 이동하려면 데이터를 다시 암호화하거나 새로운 다중 지역 키로 새 서명을 만들어야 합니다.

다중 지역 키는대칭 또는 비대칭사용할 수 있습니다.AWS KMS키 구성 요소 또는가져온 키 구성 요소. 당신은 다중 지역 키를 만들 수 없습니다사용자 지정 키 스토어.

관련된 다중 지역 키 집합에는 정확히 하나의기본 키언제든지 로 변경할 수 있습니다. 다음을 생성할 수 있습니다.복제본 키다른 기본 키의 AWS 리전 . 다음을 수행할 수도 있습니다.기본 리전 업데이트는 기본 키를 복제본 키로 변경하고 지정된 복제본 키를 기본 키로 변경합니다. 그러나 각 기본 키 또는 복제본 키는 하나만 유지 관리할 수 있습니다. AWS 리전 . 모든 리전은 동일한AWSpartition.

당신은 동일하거나 다른 관련된 다중 지역 키의 여러 세트를 가질 수 있습니다 AWS 리전 . 관련된 다중 지역 키는 상호 운용이 가능하지만 관련되지 않은 다중 지역 키는 상호 운용할 수 없습니다.

기본 키

다중 리전기본 키다른 AWS 리전 같은 파티션에 있습니다. 각 다중 지역 키 세트에는 기본 키가 하나만 있습니다.

기본 키는 다음과 같은 방식에서 복제 키와 다릅니다.

  • 만 기본 키일 수 있습니다.복제된.

  • 기본 키는공유복제본 키키 자료 및 키 ID를 포함하여.

  • 활성화 및 비활성화는 가능합니다.자동 키 교체의을 기본 키에서만 사용합니다.

  • 다음을 수행할 수 있습니다기본 키의 삭제를 예약합니다.언제든지 로 변경할 수 있습니다. 하지만AWS KMS는 모든 복제 키가 삭제될 때까지 기본 키를 삭제하지 않습니다.

기본 키를 복제할 필요는 없습니다. CMK와 마찬가지로 사용할 수 있으며 유용 할 때 복제 할 수 있습니다. 그러나 다중 영역 키는 단일 영역 CMK와 보안 속성이 다르기 때문에 다중 영역 키를 복제하려는 경우에만 다중 영역 키를 만드는 것이 좋습니다.

복제본 키

다중 리전복제본 키동일한 CMK (고객 마스터 키)키 ID키 구성 요소해당기본 키및 관련 복제 키가 있지만 다른 AWS 리전 . 복제 키를 사용하여 관련 다중 지역 키로 해독될 수 있는 일반 텍스트를 암호화할 수 있습니다. AWS 리전 . 그리고 이것을 사용하여 관련 다중 지역 키 (기본 또는 복제본) 로 암호화 된 암호문을 다른 AWS 리전 .

복제본 키는 자체 키 정책, 권한 부여, 별칭, 태그 및 기타 속성을 포함하는 완전한 기능을 갖춘 CMK입니다. 기본 키 또는 다른 키의 복사본 또는 포인터가 아닙니다. 기본 키 및 모든 관련 복제본 키가 비활성화되어 있어도 복제본 키를 사용할 수 있습니다. 복제본 키를 기본 키로, 기본 키를 복제본 키로 변환할 수도 있습니다. 복제본이 생성되면 복제본 키는 기본 키에만 의존합니다.키 교체기본 리전 업데이트.

Replicate

다음을 수행할 수 있습니다복제다중 리전기본 키를 다른 AWS 리전 같은 파티션에 있습니다. 그렇게 할 때AWS KMS다중 리전을 작성합니다.복제본 키와 같은 지정된 지역에서키 ID및 기타공유 등록 정보을 기본 키로 갖고 있습니다. 그런 다음 지역 경계에 걸쳐 키 자료를 안전하게 전송하고 새 복제본 키와 연결합니다.AWS KMS.

공유

공유은 복제본 키와 공유되는 다중 리전 기본 키의 속성입니다.AWS KMS는 기본 키와 동일한 공유 속성 값을 가진 복제 키를 생성합니다. 그런 다음 기본 키의 공유 속성 값을 복제 키와 주기적으로 동기화합니다. 복제본 키에는 이러한 속성을 설정할 수 없습니다.

다음은 다중 지역 키의 공유 속성입니다.

또한 관련 다중 지역 키의 기본 및 복제 지정을 공유 속성으로 생각할 수 있습니다. 다음을 수행할 때새 복제본 키 생성또는기본 키를 업데이트,AWS KMS는 모든 관련 다중 지역 키에 대한 변경 사항을 동기화합니다. 이러한 변경이 완료되면 관련된 모든 다중 지역 키가 기본 키와 복제 키를 정확하게 나열합니다.

다중 지역 키의 다른 모든 속성은독립, 설명 포함,키 정책,보조금,활성화 및 비활성화된 키 상태,별칭, 및tags. 관련된 모든 다중 영역 키에서 이러한 속성에 대해 동일한 값을 설정할 수 있지만 독립 속성의 값을 변경하면AWS KMS가 동기화하지 않습니다.

다중 지역 키의 공유 속성 동기화를 추적할 수 있습니다. 귀하의AWS CloudTrail로그에 대한 자세한 내용은다중 영역 키 동기화이벤트를 트리거합니다.