기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
하이브리드 포스트 퀀텀 TLS 구성
이 절차에서는 AWS 공통 런타임 HTTP 클라이언트에 대한 Maven 종속성을 추가합니다. 다음으로 포스트 양자 TLS를 선호하는 HTTP 클라이언트를 구성하세요. 그런 다음 HTTP 클라이언트를 사용하는 AWS KMS 클라이언트를 생성합니다.
AWS KMS에서 하이브리드 포스트 양자 TLS를 구성하고 사용하는 방법의 전체 작업 예시를 보려면 aws-kms-pq-tls-example
참고
평가판으로 제공되었던 AWS 공통 런타임 HTTP 클라이언트는 2023년 2월에 정식 버전으로 제공되었습니다. 해당 릴리스에서는 tlsCipherPreference
클래스와tlsCipherPreference()
메서드 파라미터가 postQuantumTlsEnabled()
메서드 파라미터로 대체되었습니다. 평가판 사용 중에 이 예제를 사용했다면 코드를 업데이트해야 합니다.
-
Maven 종속성에 AWS 공통 런타임 클라이언트를 추가합니다. 사용 가능한 최신 버전을 사용하는 것이 좋습니다.
예를 들어 이 문은 AWS 공통 런타임 클라이언트의
2.20.0
버전을 Maven 종속성에 추가합니다.<dependency> <groupId>software.amazon.awssdk</groupId> <artifactId>aws-crt-client</artifactId> <version>2.20.0</version> </dependency>
-
하이브리드 포스트 양자 암호 제품군을 활성화하려면 AWS SDK for Java 2.x를 프로젝트에 추가한 후 초기화하세요. 이어서 다음 예제와 같이 HTTP 클라이언트에서 하이브리드 포스트 양자 암호 제품군을 활성화합니다.
이 코드는
postQuantumTlsEnabled()
메서드 파라미터를 사용하여 권장되는 하이브리드 포스트 양자 암호 제품군인 Kyber가 포함된 ECDH를 선호하는 AWS 공용 런타임 HTTP 클라이언트를 구성합니다. 그런 다음 구성된 HTTP 클라이언트를 사용하여 AWS KMS 비동기 클라이언트인KmsAsyncClient
의 인스턴스를 구축합니다. 이 코드가 완료된 후에 KmsAsyncClient
인스턴스의 모든 AWS KMS API 요청은 하이브리드 포스트 양자 TLS를 사용합니다.// Configure HTTP client SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder() .postQuantumTlsEnabled(true) .build(); // Create the AWS KMS async client KmsAsyncClient kmsAsync = KmsAsyncClient.builder() .httpClient(awsCrtHttpClient) .build();
-
하이브리드 포스트 양자 TLS를 사용하여 AWS KMS 호출을 테스트합니다.
구성된 AWS KMS 클라이언트에서 AWS KMS API 작업을 호출하면 호출은 하이브리드 포스트 양자 TLS를 사용하여 AWS KMS 엔드포인트로 전송됩니다. 구성을 테스트하려면 AWS KMS API(예:
ListKeys
)을 호출하세요.ListKeysReponse keys = kmsAsync.listKeys().get();
하이브리드 포스트 퀀텀 TLS 구성 테스트
AWS KMS를 호출하는 애플리케이션에서 하이브리드 암호 제품군을 사용하여 다음 테스트를 실행하는 것을 고려하십시오.
-
로드 테스트 및 벤치마크를 실행합니다. 하이브리드 암호 제품군은 기존 키 교환 알고리즘과 다르게 작동합니다. 핸드셰이크 시간이 길어지도록 연결 제한 시간을 조정해야 할 수도 있습니다. AWS Lambda 함수 내에서 실행 중인 경우 실행 제한 시간 설정 값을 늘리세요.
-
다른 위치에서 연결해 보세요. 요청이 지나는 네트워크 경로에 따라 DPI(심층 패킷 검사)가 있는 중간 호스트, 프록시 또는 방화벽으로 인해 요청이 차단됨을 알 수 있습니다. TLS 핸드셰이크의 ClientHello
부분에서 새 암호 제품군을 사용하는 것 또는 키 교환 메시지가 더 큰 것이 원인일 수 있습니다. 이러한 문제를 해결하는 데 문제가 있는 경우 보안 팀 또는 IT 관리자와 협력하여 관련 구성을 업데이트하고 새 TLS 암호 제품군을 차단 해제하세요.