AWS Key Management Service

AWS Key Management Service는 데이터를 암호화하는 데 사용되는 암호화 키를 쉽게 생성하고 제어할 수 있는 관리형 서비스이며, 하드웨어 보안 모듈(HSM)을 사용하여 키의 보안을 보호합니다. AWS KMS는 다른 여러 AWS 서비스와 통합되어 이러한 서비스로 저장하는 데이터를 보호할 수 있도록 지원합니다. 또한 AWS KMS는 AWS CloudTrail과도 통합되어 규제 및 규정 준수 요구 사항에 맞게 모든 키 사용에 대한 로그를 제공합니다.

AWS Management Console에서 또는 AWS SDK나 AWS CLI를 사용하여 간편하게 키를 생성하고 가져오고 교체할 수 있을 뿐 아니라 사용 정책을 정의하고 사용을 감사할 수 있습니다.

AWS KMS의 CMK는 사용자가 가져오거나 사용자를 대신하여 KMS에서 생성되거나 어느 쪽이든 상관없이 모두 내구성이 우수한 스토리지에 암호화된 형식으로 저장되므로 필요할 때 항상 사용할 수 있습니다. 마스터 키로 이미 암호화된 데이터를 다시 암호화할 필요 없이 KMS에서 생성된 CMK를 KMS에서 1년에 한 번 자동으로 교체하도록 선택할 수 있습니다. KMS에서는 이전에 암호화한 데이터를 자동으로 해독하기 위해 이전 버전의 CMK를 항상 사용할 수 있으므로 사용자는 CMK의 이전 버전을 추적할 필요가 없습니다.

AWS KMS의 모든 CMK에 대해 키 정책 또는 IAM 정책 내의 키 정책 조건 및 권한 부여를 포함한 다양한 액세스 제어를 통해 누가 해당 키에 액세스할 수 있으며 어떤 서비스에 키를 사용할 수 있는지를 제어할 수 있습니다. 또한 사용자가 자체 키 관리 인프라에서 키를 가져와서 KMS에서 사용할 수도 있습니다.

예를 들어 다음 정책은 kms:ViaService 조건을 사용하여 특정 리전(us-west-2)의 Amazon EC2 또는 Amazon RDS에서 특정 사용자(ExampleUser) 대신 요청을 수행하는 경우에만 고객 관리형 CMK를 지정된 작업에 사용할 수 있도록 허용합니다.

        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Effect”: “Allow”,
                “Principal”: {
                    “AWS”: “arn:aws:iam::111122223333:user/ExampleUser”
                 }
                “Action”: [
                     “kms:Encrypt*”,
                     “kms:Decrypt”,
                     ”kms:ReEncrypt*”,
                     “kms:GenerateDataKey*”,
                     “kms:CreateGrant”,
                     “kms:ListGrants”,
                     “kms:DescribeKey”
                 ],
                 “Resource”: “*”,
                 “Condition”: {
                    “ForAnyValue:StringEquals”: {
                        “kms:ViaService”: [
                              “ec2.us-west-2.amazonaws.com”,
                              “rds.us-west-2.amazonaws.com”
                        ]
                     } 
               }      
}