Amazon Simple Storage Service(Amazon S3)의 AWS KMS 활용 방식 - AWS Key Management Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon Simple Storage Service(Amazon S3)의 AWS KMS 활용 방식

이 주제에서는 Amazon S3 데이터 센터 내에서 AWS KMS를 이용해 저장된 데이터를 보호하는 방법을 설명합니다. 사용할 수 있습니다. 클라이언트 측 암호화 귀하의 데이터를 암호화하여 AWS KMS 고객 마스터 키 (CMK)에 전송하기 전에 Amazon S3. 또는 서버 측 암호화 위치 Amazon S3 데이터 암호화 AWS KMS CMK.

서버 측 암호화 SSE-KMS 사용

저장 시 데이터를 보호할 수 있습니다. Amazon S3 서버 측 암호화를 세 가지 서로 다른 모드로 SSE-S3, SSE-C 또는 SSE-KMS.

이 주제의 나머지 부분은 AWS KMS 관리형 키(SSE-KMS)를 이용한 서버 측 암호화로 데이터를 보호하는 방법을 다룹니다.

암호화를 요청하고 CMK 사용하여 Amazon S3 콘솔 또는 API. 콘솔에서 해당 상자를 체크하여 암호화를 수행하고 CMK 목록에서 를 선택합니다. For the Amazon S3 API, 암호화를 지정하고 CMK GET 또는 PUT 요청에서 적절한 헤더를 설정합니다. 자세한 내용은 AWS KMS 관리형 키(SSE-KMS)를 사용하는 서버 측 암호화로 데이터 보호를 참조하십시오.

중요

Amazon S3 지원 대칭 CMKs. 귀하는 메트릭 CMK 데이터를 암호화하려면 Amazon S3. CMK가 대칭 또는 비대칭인지 여부를 확인하는 방법은 대칭 메트릭 및 비트 메트릭 식별 CMKs 단원을 참조하십시오.

선택할 수 있습니다. 고객 관리 CMK 또는 AWS 관리 CMK for Amazon S3 계정에서. 데이터를 암호화하기로 선택하면 AWS KMS와 Amazon S3는 다음 작업을 수행합니다.

  • Amazon S3 일반 텍스트 요청 데이터 키 및 지정된 키 아래에 암호화된 키 CMK.

  • AWS KMS 데이터 키를 생성하여 CMK일반 텍스트 데이터 키와 암호화된 데이터 키를 모두 전송하여 Amazon S3.

  • Amazon S3는 데이터 키를 사용해 데이터를 암호화하고, 사용 후 가급적 빨리 메모리에서 일반 텍스트 키를 제거합니다.

  • Amazon S3는 암호화한 데이터 키를 암호화한 데이터와 함께 메타데이터로 저장합니다.

사용자가 데이터 해독을 요청하면 Amazon S3와 AWS KMS가 다음 작업을 수행합니다.

  • Amazon S3는 AWS KMS로 암호화된 데이터 키를 보냅니다.

  • AWS KMS 키를 사용하여 키를 해독합니다. CMK 일반 텍스트 데이터 키를 Amazon S3.

  • Amazon S3는 암호화 텍스트를 해독하고, 가급적 빨리 메모리에서 일반 텍스트 데이터 키를 제거합니다.

Amazon S3 암호화 클라이언트 사용

애플리케이션에서 AWS SDK의 Amazon S3 암호화 클라이언트를 사용해 객체를 암호화하고 Amazon S3에 업로드할 수 있습니다. 이 방법을 사용하면 로컬로 데이터를 암호화하여 Amazon S3 서비스로 전달되는 동안 보안을 보장할 수 있습니다. Amazon S3 서비스는 암호화된 데이터를 수신하며 데이터를 암호화 또는 해독하는 과정에 기여하지 않습니다.

Amazon S3 암호화 클라이언트는 봉투 암호화를 이용해 객체를 암호화합니다. 고객 전화 AWS KMS 데이터를 클라이언트로 전달할 때 암호화 호출의 일부입니다. AWS KMS 사용자인지 확인하고 고객 마스터 키 (CMK을(를) 지정하고, 그렇다면, 새로운 일반 텍스트 데이터 키와 CMK. Amazon S3 암호화 클라이언트는 일반 텍스트 키를 이용해 데이터를 암호화한 후 메모리에서 키를 삭제합니다. 암호화된 데이터 키는 암호화된 데이터와 함께 저장하기 위해 Amazon S3로 전송됩니다.

암호화 컨텍스트

AWS KMS와 통합된 각 서비스는 데이터 키 요청, 암호화, 암호화 해제 시 암호화 컨텍스트를 지정합니다. 암호화 컨텍스트는 데이터 무결성 확인을 위해 AWS KMS에서 사용하는 추가 인증 정보(AAD)입니다.

암호화 작업에 대해 암호화 컨텍스트가 지정되면 Amazon S3가 암호 해독 작업에 대해 동일한 암호화 컨텍스트를 지정합니다. 그렇지 않으면 암호화 해제가 실패합니다.

SSE-KMS 또는 Amazon S3 암호화 클라이언트를 사용해 암호화를 수행하면 Amazon S3는 버킷 경로를 암호화 컨텍스트로 사용합니다. CloudTrail 로그 파일의 requestParameters 필드에 암호화 컨텍스트가 이와 비슷하게 표시됩니다.

"encryptionContext": { "aws:s3:arn": "arn:aws:s3:::bucket_name/file_name" },