AWS Nitro Enclaves에서 AWS KMS 사용 방법 - AWS Key Management Service

AWS Nitro Enclaves에서 AWS KMS 사용 방법

AWS Nitro Enclaves는 Amazon EC2의 기능으로, Amazon EC2 인스턴스에서 격리된 컴퓨팅 환경을 생성할 수 있습니다.

AWS Nitro Enclaves에서 실행되는 애플리케이션은 AWS Nitro Enclaves 개발 키트를 사용하여 AWS KMS Decrypt, GenerateDataKeyGenerateRandom 작업을 호출합니다. Nitro Enclave SDK는 각 AWS KMS API 요청에 Enclave의 증명 문서를 추가합니다. 일반 텍스트 데이터를 반환하는 대신 AWS KMS 작업은 증명 문서의 공개 키로 일반 텍스트를 암호화합니다. 이 설계는 엔클레이브 내의 해당 개인 키에 의해서만 암호문이 복호화될 수 있도록 합니다.

AWS Nitro Enclave를 지원하기 위해 AWS KMS는 이러한 작업에 대한 표준 요청 및 응답 필드에 RecipientInfo 객체 유형 및 CiphertextForRecipient 응답 필드를 Recipient 요청 파라미터를 추가합니다. 이러한 엔클레이브 특정 요소는 지원되는 API 작업에서만 그리고 AWS Nitro Enclave 개발 키트를 사용하여 요청에 서명한 경우에만 유효합니다. AWS KMS는 요청의 공개 키가 유효한 엔클레이브에서 왔다는 것을 증명하기 위해 엔클레이브의 증명 문서에 대한 디지털 서명에 의존합니다. 증명 문서에 디지털 서명하기 위한 자체 인증서를 제공할 수 없습니다.

AWS KMS는 또한 증명 문서에 지정된 콘텐츠가 있는 경우에만 AWS KMS 키에 대한 엔클레이브 작업을 허용하는 데 사용할 수 있는 정책 조건 키를 지원합니다. 자세한 내용은 AWS Nitro Enclaves에 대한 AWS KMS 조건 키 단원을 참조하십시오.

AWS Nitro Enclaves에 대한 자세한 내용은 AWS Nitro Enclaves 개발자 안내서AWS Nitro Enclaves란 무엇입니까?를 참조하십시오. 암호화를 위한 데이터 및 데이터 키를 설정하는 방법에 대한 자세한 내용은 AWS KMS에서 암호화 증명 사용 단원을 참조하십시오.

Recipient

"Recipient": { "AttestationDocument": blob, "KeyEncryptionAlgorithm": "string" }

Enclave 및 암호화 알고리즘의 서명된 증명 문서를 포함하는 요청 파라미터입니다. 유일하게 유효한 암호화 알고리즘은 RSAES_OAEP_SHA_256입니다.

이 파라미터는 AWS Nitro Enclaves 개발 키트에서 요청이 오는 경우에만 유효합니다.

유형: RecipientInfo 객체

RecipientInfo

이 유형에는 API 작업에서 응답을 수신하는 엔클레이브에 대한 정보가 포함됩니다.

AttestationDocument

Nitro 엔클레이브의 상태를 설명하는 측정값이 포함된 문서입니다. 이 문서는 또한 엔클레이브의 공개 키를 포함합니다. AWS KMS는 엔클레이브의 해당 개인 키에 의해서만 나중에 복호화될 수 있도록 이 공개 키에 따라 응답의 모든 일반 텍스트를 암호화합니다.

유형: Base64로 인코딩된 이진 데이터 객체

길이 제약: 최소 길이는 1입니다. 최대 길이는 262144자입니다.

Required: No

KeyEncryptionAlgorithm

AWS KMS가 공개 키와 함께 사용해야 하는 암호화 알고리즘입니다. 유일한 유효 값은 RSAES_OAEP_SHA_256입니다.

유형: 문자열

유효 값: RSAES_OAEP_SHA_256

Required: No

CiphertextForRecipient

{ "CiphertextForRecipient": blob }

이 응답 필드에는 요청의 증명 문서에서 공개 키로 암호화된 암호문이 포함됩니다. 이 필드는 요청에 유효한 증명 문서 및 암호화 알고리즘이 포함된 Recipient 파라미터가 포함된 경우에만 채워집니다. 이 필드가 채워지면 응답의 Plaintext 필드는 null입니다.

유형: Base64로 인코딩된 이진 데이터 객체

길이 제약: 최소 길이는 1입니다. 최대 길이는 6144자입니다.

AWS Nitro Enclaves에 대한 AWS KMS 작업

다음 AWS KMS 작업은 Nitro Enclaves를 지원합니다. 이 주제에서는 AWS Nitro Enclave 개발 키트에서 요청이 오고 Recipient 파라미터에 유효한 증명 문서가 포함되어 있을 때 이러한 API 작업이 어떻게 작동하는지 설명합니다. 이러한 작업은 Recipient 파라미터와 CiphertextForRecipient 응답 필드를 지원합니다.

Decrypt

Enclave에서 Decrypt 작업을 호출하려면 AWS Nitro Enclave 개발 키트에서 kms-decrypt 작업을 사용하십시오.

지정된 AWS KMS 키를 사용하여 요청의 암호문 blob을 해독한 후 Decrypt 작업은 증명 문서의 공개 키와 지정된 암호화 알고리즘을 사용하여 결과 일반 텍스트를 다시 암호화합니다. 응답의 CiphertextForRecipient 필드에 결과 암호문을 반환합니다. 응답의 Plaintext 필드가 null입니다.

GenerateDataKey

엔클레이브에서 GenerateDataKey 작업을 호출하려면 AWS Nitro Enclaves 개발 키트에서 kms-generate-data-key 작업을 사용하십시오.

데이터 키를 생성한 후 GenerateDataKey 작업은 지정된 AWS KMS 키 아래에 있는 데이터 키 복사본 하나를 암호화하고 CiphertextBlob 필드에 반환합니다. 증명 문서의 공개 키 아래에 있는 데이터 키의 다른 복사본을 암호화하고 CiphertextForRecipient 필드에 반환합니다. 응답의 Plaintext 필드가 null입니다.

GenerateDataKey 응답에서 두 개의 암호화된 데이터 키를 사용하는 것은 엔클레이브 사용에 따라 다릅니다.

  • 데이터 키를 사용하여 엔클레이브 내에서 데이터를 암호화하려면 엔클레이브 내에서 개인 키를 사용하여 CiphertextForRecipient 필드의 값을 복호화하십시오. 이 새로 암호화된 데이터를 엔클레이브 외부에 유지하려면 GenerateDataKey(kms-generate-data-key)응답에서 두 개의 암호화된 데이터 키 복사본 중 하나와 함께 저장할 수 있습니다.

  • 엔클레이브를 계속 실행하려는 경우 엔클레이브 메모리에 있는 개인 키의 내구성에 의존할 수 있는 경우 CiphertextForRecipient 객체를 엔클레이브 외부로 이동할 때 새로 암호화된 데이터와 함께 포함할 수 있습니다. CiphertextForRecipient 객체를 복호화할 준비가 되면 엔클레이브에서 해당 개인 키를 사용해야 합니다.

    엔클레이브를 계속 실행하고 싶지 않거나 엔클레이브 메모리에 있는 개인 키의 내구성에 의존하고 싶지 않다면 암호화된 데이터와 함께 CiphertextBlob 객체를 포함해야 합니다. 이 데이터 키 복사본을 복호화하려면 Decrypt(kms-decrypt) 요청으로 AWS KMS에게 보내야 합니다.

    CiphertextBlob 객체를 다른 엔클레이브에 전달한 다음 AWS Nitro Enclave 개발 키트에서 kms-decrypt(Decrypt) 작업을 호출하여 암호를 복호화할 수도 있습니다. 이 요청에는 새 공개 키가 있는 새 엔클레이브에 대한 증명 문서가 포함됩니다. AWS KMS는 AWS KMS 키로 암호화된 데이터 키를 복호화한 다음 새 엔클레이브의 공개 키로 다시 암호화합니다. 이 데이터 키는 새 엔클레이브 내에서 해당 개인 키를 사용해야만 해독할 수 있습니다.

GenerateRandom

엔클레이브에서 GenerateRandom 작업을 호출하려면 AWS Nitro Enclaves 개발 키트에서 kms-generate-random 작업을 사용하십시오.

임의의 바이트 문자열을 생성한 후 GenerateRandom 작업은 증명 문서의 공개 키와 지정된 암호화 알고리즘을 사용하여 임의의 바이트 문자열을 암호화합니다. CiphertextForRecipient 필드에 암호화된 바이트 문자열을 반환합니다. 응답의 Plaintext 필드가 null입니다.