기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
의 다중 리전 키 AWS KMS
AWS KMS 는 여러 리전에 동일한 키가 있는 것처럼 상호 교환적으로 사용할 수 AWS 리전 있는 다른의 다중 리전 키를 지원합니다. AWS KMS keys 각 관련 다중 리전 키 세트는 키 구성 요소와 키 ID가 동일하므로, 리전 간 호출을 하거나 다시 암호화 AWS 리전 하지 않고도 한에서 데이터를 암호화 AWS 리전 하고 다른에서 데이터를 복호화할 수 있습니다 AWS KMS.
모든 KMS 키와 마찬가지로 다중 리전 키는 암호화 AWS KMS 되지 않은 상태로 두지 않습니다. 암호화 또는 서명을 위한 대칭 또는 비대칭 다중 리전 키를 생성하고, HMAC 태그를 생성하고 확인하기 위한 HMAC 다중 리전 키를 생성하고,가 생성하는 가져온 키 구성 요소 또는 키 구성 요소를 AWS KMS 사용하여 다중 리전 키를 생성할 수 있습니다. 별칭 및 태그 생성, 키 정책 및 권한 부여 설정, 선택적으로 활성화 및 비활성화를 포함하여 독립적으로 각 다중 리전 키를 관리해야 합니다. 단일 리전 키로 수행할 수 있는 모든 암호화 작업에서 다중 리전 키를 사용할 수 있습니다.
다중 리전 키는 많은 일반적인 데이터 보안 시나리오를 위한 유연하고 강력한 솔루션입니다.
- 재해 복구
-
백업 및 복구 아키텍처에서 다중 리전 키를 사용하면 AWS 리전 중단 발생 시에도 중단 없이 암호화된 데이터를 처리할 수 있습니다. 백업 리전에서 유지 관리되는 데이터는 백업 리전에서 해독할 수 있으며, 백업 리전에서 새로 암호화된 데이터는 해당 리전이 복원될 때 기본 리전에서 해독할 수 있습니다.
- 글로벌 데이터 관리
-
전 세계적으로 운영되는 비즈니스에는 AWS 리전에서 일관되게 사용할 수 있는 전 세계적으로 분산된 데이터가 필요합니다. 데이터가 상주하는 모든 리전에서 다중 리전 키를 만든 다음 교차 리전 호출의 지연 시간 또는 각 리전의 다른 키로 데이터를 다시 암호화하는 비용 없이 단일 리전 키인 것처럼 키를 사용할 수 있습니다.
- 분산 서명 애플리케이션
-
교차 리전 서명 기능이 필요한 애플리케이션은 다중 리전 비대칭 서명 키를 사용하여 다른 AWS 리전에서 일관되고 반복적으로 동일한 디지털 서명을 생성할 수 있습니다.
단일 글로벌 트러스트 스토어(단일 루트 인증 기관(CA) 및 루트 CA가 CAs 서명한 리전 중간에 대해 인증서 체인을 사용하는 경우 다중 리전 키가 필요하지 않습니다. 그러나 시스템이 애플리케이션 서명CAs과 같은 중간를 지원하지 않는 경우 다중 리전 키를 사용하여 리전 인증에 일관성을 제공할 수 있습니다.
- 여러 리전에 걸친 활성/활성 애플리케이션
-
일부 워크로드 및 애플리케이션은 여러 리전에 걸쳐 활성/활성 아키텍처에 있을 수 있습니다. 이러한 애플리케이션의 경우 다중 리전 키는 리전 경계를 넘어 이동할 수 있는 데이터에 대한 동시 암호화 및 해독 작업에 동일한 키 구성 요소를 제공하여 복잡성을 줄일 수 있습니다.
다중 리전 키를 , AWS 데이터베이스 SDK암호화 AWS Encryption SDK및 Amazon S3 클라이언트 측 암호화와 같은 클라이언트 측 암호화 라이브러리에 사용할 수 있습니다.
저장 시 암호화 또는 디지털 서명을 위해 AWS 와 통합되는 서비스는 AWS KMS
다중 리전 키는 전역 키가 아닙니다. 다중 리전 기본 키를 만든 다음 AWS 파티션 내에서 선택한 리전에 복제합니다. 그런 다음 각 리전에서 다중 리전 키를 독립적으로 관리합니다. AWS 는 AWS KMS 사용자를 대신하여 다중 리전 키를 자동으로 생성하거나 복제하지 않습니다. AWS 서비스에서 계정에서 생성하는 AWS 관리형 키 KMS 키인는 항상 단일 리전 키입니다.
중국 리전에서는 다중 리전 키 기능을 사용하여 중국 리전 파티션() 내에서 KMS 키를 복제할 수 있습니다aws-cn
. 예를 들어 중국(베이징) 리전에서 중국(닝샤) 리전으로 키를 복제하거나 반대 방향으로 키를 복제할 수 있습니다. 한 중국 리전에서 다른 중국 리전으로 키를 복제함으로써 사용자는 대상 리전 AWS Key Management Service 의를 사용하고 대상 리전에 적용되는 모든 계약 조건을 준수하는 데 동의합니다. 베이징 및 닝샤 리전에서 중국 리전 파티션 외부의 AWS 리전으로 키를 복제할 수 없습니다. 마찬가지로 중국 리전 파티션 외부의 리전에서 베이징 및 닝샤 리전으로 키를 복제할 수 없습니다.
기존 단일 리전 키는 다중 리전 키로 변환할 수 없습니다. 이러한 설계는 기존 단일 리전 키로 보호되는 모든 데이터가 동일한 데이터 상주 및 데이터 주권 속성을 유지하도록 보장합니다.
대부분의 데이터 보안 요구 사항에서 리전 리소스의 리전 격리 및 내결함성으로 인해 표준 AWS KMS 단일 리전 키가 가장 적합한 솔루션입니다. 그러나 여러 리전의 클라이언트 측 애플리케이션에서 데이터를 암호화하거나 서명해야 하는 경우 다중 리전 키가 해결책일 수 있습니다.
리전
다중 리전 키는가 지원하는 모든에서 지원 AWS 리전 됩니다 AWS KMS .
요금 및 할당량
관련 다중 리전 키 세트의 모든 키는 요금 및 할당량에 대해 하나의 KMS 키로 계산됩니다. AWS KMS 할당량은 계정의 각 리전에 대해 별도로 계산됩니다. 각 리전에서 다중 리전 키의 사용 및 관리는 해당 리전의 할당량에 포함됩니다.
지원되는 KMS 키 유형
다음과 같은 유형의 다중 리전 KMS 키를 생성할 수 있습니다.
-
대칭 암호화 KMS 키
-
비대칭 KMS 키
-
HMAC KMS 키
-
KMS 가져온 키 구성 요소가 있는 키
사용자 지정 키 스토어에서는 다중 리전 키를 만들 수 없습니다.
자세히 알아보기
-
다중 리전 KMS 키에 대한 액세스를 제어하는 방법을 알아보려면 섹션을 참조하세요다중 리전 키에 대한 액세스 제어.
-
모든 유형의 다중 리전 기본 KMS 키를 생성하려면 섹션을 참조하세요다중 리전 프라이머리 키 생성.
-
다중 리전 복제본 KMS 키를 생성하려면 섹션을 참조하세요다중 리전 복제본 키 생성.
-
기본 리전을 업데이트하려면 다중 리전 키 세트에서 프라이머리 키 변경 단원을 참조하세요.
-
다중 리전 KMS 키를 식별하고 보려면 섹션을 참조하세요HMAC KMS 키 식별.
-
다중 리전 KMS 키 삭제에 대한 특별 고려 사항에 대한 자세한 내용은 섹션을 참조하세요Deleting multi-Region keys.
용어 및 개념
다중 리전 키에 사용되는 용어와 개념은 다음과 같습니다.
다중 리전 키
다중 리전 키는 키 ID와 KMS 키 구성 요소(및 기타 공유 속성)가 동일한 키 세트 중 하나입니다 AWS 리전. 각 다중 리전 키는 관련 다중 리전 KMS 키와는 완전히 독립적으로 사용할 수 있는 완전 작동 키입니다. 모든 관련 다중 리전 키는 키 ID와 키 구성 요소가 동일하므로 상호 운용 가능합니다. 즉, 모든의 모든 관련 다중 리전 키는 다른 관련 다중 리전 키로 암호화된 암호 텍스트를 해독 AWS 리전 할 수 있습니다.
KMS 키 생성 시 키의 다중 리전 속성을 설정합니다. 기존 키에서는 다중 리전 속성을 변경할 수 없습니다. 단일 리전 키를 다중 리전 키로 변환하거나 다중 리전 키를 단일 리전 키로 변환할 수 없습니다. 기존 워크로드를 다중 리전 시나리오로 이동하려면 데이터를 다시 암호화하거나 새로운 다중 리전 키로 새 서명을 만들어야 합니다.
다중 리전 키는 대칭 또는 비대칭일 수 있으며 AWS KMS 키 구성 요소 또는 가져온 키 구성 요소를 사용할 수 있습니다. 사용자 지정 키 스토어에서는 다중 리전 키를 만들 수 없습니다.
관련된 다중 리전 키 세트에는 항상 정확히 하나의 기본 키가 있습니다. 다른 AWS 리전에서 해당 기본 키의 복제본 키를 생성할 수 있습니다. 기본 리전을 업데이트할 수도 있습니다. 즉, 기본 키를 복제본 키로 변경하고 지정된 복제본 키를 기본 키로 변경하는 것입니다. 그러나 각각에 기본 키 또는 복제본 키 하나만 유지할 수 있습니다 AWS 리전. 모든 리전은 동일한 AWS 파티션에 있어야 합니다.
동일 또는 다른 AWS 리전에 여러 관련 다중 리전 키 세트가 있을 수 있습니다. 관련된 다중 리전 키는 상호 운용이 가능하지만 관련되지 않은 다중 리전 키는 상호 운용할 수 없습니다.
프라이머리 키
다중 리전 기본 키는 동일한 파티션 AWS 리전 의 다른에 복제할 수 있는 KMS 키입니다. 각 다중 리전 키 세트에는 기본 키가 하나만 있습니다.
기본 키와 복제본 키는 차이점은 다음과 같습니다.
-
기본 키만 복제될 수 있습니다.
-
기본 키에서만 자동 키 교체를 활성화, 비활성화할 수 있습니다.
-
언제든지 기본 키의 삭제를 예약할 수 있습니다. 하지만 AWS KMS 는 모든 복제본 키가 삭제될 때까지 기본 키를 삭제하지 않습니다.
기본 키와 복제본 키는 암호화 속성에서 다르지 않습니다. 기본 키와 해당 복제 키를 서로 바꿔서 사용할 수 있습니다.
따라서 기본 키를 복제할 필요는 없습니다. KMS 키와 마찬가지로 사용할 수 있으며 유용한 경우 복제할 수 있습니다. 그러나 다중 리전 키는 단일 리전 키와 보안 속성이 다르기 때문에 다중 리전 키를 복제하려는 경우에만 다중 리전 키를 만드는 것이 좋습니다.
복제본 키
다중 리전 복제본 키는 기본 KMS 키 및 관련 복제본 키와 키 ID 및 키 구성 요소가 동일하지만 다른에 존재하는 키입니다 AWS 리전. 프라이머리 키
복제본 키는 자체 KMS 키 정책, 권한 부여, 별칭, 태그 및 기타 속성이 있는 완전 기능 키입니다. 기본 키 또는 다른 키의 복사본이나 포인터가 아닙니다. 기본 키 및 모든 관련 복제본 키가 비활성화되어 있어도 복제본 키를 사용할 수 있습니다. 복제본 키를 기본 키로, 기본 키를 복제본 키로 변환할 수도 있습니다. 복제 키는 일단 생성되면 키 교체 및 기본 리전 업데이트에 대해서만 기본 키에 의존합니다.
기본 키와 복제 키는 암호화 속성에서 다르지 않습니다. 기본 키와 해당 복제 키를 서로 바꿔서 사용할 수 있습니다. 기본 키 또는 복제본 키로 암호화된 데이터는 동일한 키 또는 관련된 기본 키 또는 복제본 키로 해독할 수 있습니다.
복제
다중 리전 기본 키를 동일한 파티션 AWS 리전 의 다른에 복제할 수 있습니다. 이렇게 하면는 기본 키와 동일한 키 ID 및 기타 공유 속성을 사용하여 지정된 리전에서 다중 리전 복제본 키를 AWS KMS 생성합니다. 키 ID 공유 속성 그런 다음 리전 경계를 넘어 키 자료를 안전하게 전송하고 이를 AWS KMS내에 있는 새 복제본 키와 연결합니다.
공유 속성
공유 속성은 복제본 키와 공유되는 다중 리전 프라이머리 키의 속성입니다.는 프라이머리 키와 동일한 공유 속성 값을 가진 복제본 키를 AWS KMS 생성합니다. 그런 다음 기본 키의 공유 속성 값을 복제 키와 주기적으로 동기화합니다. 복제본 키에는 이러한 속성을 설정할 수 없습니다.
다음은 다중 리전 키의 공유 속성입니다.
-
키 사양 및 암호화 알고리즘
-
자동 키 교체 — 기본 키에서만 자동 키 교체를 활성화하거나 비활성화할 수 있습니다. 공유 키 구성 요소의 모든 버전을 사용하여 새 복제본 키가 생성됩니다. 세부 정보는 Rotating multi-Region keys을 참조하세요.
-
온디맨드 교체 - 프라이머리 키에서만 온디맨드 교체를 수행할 수 있습니다. 공유 키 구성 요소의 모든 버전을 사용하여 새 복제본 키가 생성됩니다. 세부 정보는 Rotating multi-Region keys을 참조하세요.
또한 관련 다중 리전 키의 기본 및 복제 지정을 공유 속성으로 생각할 수 있습니다. 새 복제본 키를 생성하거나 기본 키를 업데이트하면는 모든 관련 다중 리전 키에 대한 변경 사항을 AWS KMS 동기화합니다. 이러한 변경이 완료되면 관련된 모든 다중 리전 키가 기본 키와 복제 키를 정확하게 나열합니다.
다중 리전 키의 다른 모든 속성은 설명, 키 정책, 권한 부여, 활성화 및 비활성화 키 상태, 별칭 및 태그를 포함해 독립적인 속성입니다. 관련된 모든 다중 리전 키에서 이러한 속성에 대해 동일한 값을 설정할 수 있지만 독립 속성의 값을 변경하면 AWS KMS 가 동기화하지 않습니다.
다중 리전 키의 공유 속성 동기화를 추적할 수 있습니다. AWS CloudTrail 로그에서 SynchronizeMultiRegionKey 이벤트를 찾습니다.