기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS CloudHSM 키 스토어에서 KMS 키 사용
AWS CloudHSM 키 스토어에 대칭 암호화 KMS 키를 생성한 후 다음 암호화 작업에 사용할 수 있습니다.
비대칭 데이터 키 쌍을 GenerateDataKeyPair생성하고 GenerateDataKeyPairWithoutPlaintext, 를 생성하는 작업은 사용자 지정 키 저장소에서 지원되지 않습니다.
요청에서 KMS 키를 사용하는 경우 ID 또는 별칭으로 KMS 키를 식별합니다. AWS CloudHSM 키 스토어나 AWS CloudHSM 클러스터를 지정할 필요가 없습니다. 응답에는 모든 비대칭 암호화 KMS 키에서 반환된 동일한 필드가 포함되어 있습니다.
그러나 AWS CloudHSM 키 스토어에서 KMS 키를 사용하는 경우 암호화 작업은 AWS CloudHSM 키 스토어와 연결된 AWS CloudHSM 클러스터 내에서 완전히 수행됩니다. 이 작업에서는 사용자가 선택한 KMS 키와 연결된 클러스터의 키 구성 요소를 사용합니다.
이것이 가능하려면 다음 조건이 충족되어야 합니다.
-
KMS 키의 키 상태가
Enabled여야 합니다. 키 상태를 찾으려면 AWS KMS콘솔의 Status 필드 또는 응답의 KeyStateDescribeKey필드를 사용하십시오. -
AWS CloudHSM 키 스토어는 AWS CloudHSM 클러스터에 연결되어 있어야 합니다. AWS KMS콘솔 또는
ConnectionStateDescribeCustomKeyStores응답에서의 상태는 다음과 같아야 합니다CONNECTED. -
사용자 지정 키 스토어에 연결된 AWS CloudHSM 클러스터는 최소 하나의 활성 HSM을 포함해야 합니다. 클러스터의 활성 HSM 수를 확인하려면 AWS KMS콘솔, 콘솔 또는 DescribeClusters작업을 사용하십시오. AWS CloudHSM
-
AWS CloudHSM 클러스터는 KMS 키의 키 구성 요소를 포함해야 합니다. 클러스터에서 키 구성 요소가 삭제된 경우나 키 구성 요소를 포함하지 않은 백업에서 HSM이 생성된 경우에는 암호화 작업이 실패합니다.
이러한 조건들이 충족되지 않으면 암호화 작업이 실패하고 AWS KMS가 KMSInvalidStateException 예외를 반환합니다. 일반적으로 AWS CloudHSM 키 스토어를 재연결하기만 하면 됩니다. 추가적인 도움말은 오류가 발생하는 KMS 키를 수정하는 방법 섹션을 참조하십시오.
AWS CloudHSM 키 스토어에서 KMS 키를 사용할 때는 각 AWS CloudHSM 키 스토어의 KMS 키가 암호화 작업에 대해 사용자 지정 키 스토어 요청 할당량을 공유한다는 점에 유의하세요. 할당량을 초과하는 경우 AWS KMS는 ThrottlingException을 반환합니다. AWS CloudHSM 키 스토어에 연결된 AWS CloudHSM 클러스터가 해당 AWS CloudHSM 키 스토어와 관련되지 않은 명령을 포함해 다수의 명령을 처리 중인 경우에는 낮은 속도에서 ThrottlingException을 가져올 수 있습니다. 어떤 요청에 대해 ThrottlingException이 반환된 경우에는 요청 속도를 낮추고 명령을 다시 시도하십시오. 사용자 지정 키 스토어 요청 할당량에 대한 자세한 내용은 사용자 지정 키 스토어 요청 할당량 섹션을 참조하세요.
