AWS KMS 개념

AWS Key Management Service(AWS KMS)에서 사용하는 기본 용어 및 개념과 사용자 데이터를 보호하는 방법에 대해 알아봅니다.

소개AWS KMS

AWS Key Management Service(AWS KMS)는 암호화 키를 생성 및 관리하기 위한 웹 인터페이스를 제공하며 데이터 보호를 위한 암호화 서비스 공급자 역할을 합니다. AWS KMS는 AWS 서비스와 통합된 기존 키 관리 서비스를 제공하여 중앙 집중식 관리 및 감사 기능과 함께 AWS 전반에 걸쳐 고객의 키에 대한 일관된 보기를 제공합니다.

AWS KMS에는 FIPS 140-3 검증 하드웨어 보안 모듈(HSM)의 분산 플릿에 대한 암호화 작업을 요청하는 AWS Management 콘솔을 통한 웹 인터페이스, 명령줄 인터페이스 및 RESTful API 작업이 포함되어 있습니다. AWS KMS HSM은 멀티칩 독립 실행형 하드웨어 암호화 어플라이언스로, AWS KMS의 보안 및 확장성 요구 사항을 충족하기 위한 전용 암호화 기능을 제공하도록 설계되었습니다. AWS KMS keys와 같이 사용자가 관리하는 키로 HSM 기반 암호화 계층 구조를 설정할 수 있습니다. 이러한 키는 HSM에서만 사용할 수 있으며 암호화 요청을 처리하는 데 필요한 시간 동안 메모리에서만 사용할 수 있습니다. KMS 키를 여러 개 생성할 수 있으며 각 키는 키 ID로 표시됩니다. 각 고객이 관리하는 AWS IAM 역할 및 계정에서만 데이터를 생성, 삭제, 암호화, 복호화, 서명 또는 확인하는 데 고객 관리형 KMS 키를 사용할 수 있습니다. 키에 연결된 정책을 생성하여 KMS 키를 관리하거나 사용하도록 허용되는 사용자에 대한 액세스 제어를 정의할 수 있습니다. 이러한 정책을 사용하면 각 API 작업을 위한 키의 애플리케이션별 용도를 정의할 수 있습니다.

또한 대부분의 AWS 서비스는 KMS 키를 사용하여 저장된 데이터 암호화를 지원합니다. 이 기능을 사용하면 고객이 KMS 키에 액세스할 수 있는 방법과 시기를 제어하여 AWS 서비스가 암호화된 데이터에 액세스할 수 있는 방법과 시기를 제어할 수 있습니다.

AWS KMS는 웹에 연결된 AWS KMS 호스트와 HSM의 계층으로 구성된 계층형 서비스입니다. 이러한 계층화된 호스트의 그룹은 AWS KMS 스택을 구성합니다. AWS KMS에 대한 모든 요청은 전송 계층 보안(TLS) 프로토콜을 통해 보내야 하며 AWS KMS 호스트에서 종료됩니다. AWS KMS 호스트는 PFS(Perfect Forward Secrecy)를 제공하는 ciphersuite를 사용한 TLS만 허용합니다. AWS KMS는 다른 AWS API 작업에 사용되는 것과 동일한 AWS Identity and Access Management(IAM)의 자격 증명 및 정책 메커니즘을 사용하여 요청을 인증하고 권한을 부여합니다.

AWS KMS 설계 목표

AWS KMS는 다음 요구 사항을 충족하도록 설계되었습니다.

이러한 목표를 실현하기 위해 AWS KMS 시스템에는 ‘도메인’을 관리하는 일련의 AWS KMS 운영자 및 서비스 호스트 운영자(통칭 ‘운영자’)가 포함되어 있습니다. 도메인은 리전별로 정의된 AWS KMS 서버, HSM 및 운영자의 집합입니다. 각 AWS KMS 운영자에는 작업을 인증하는 데 사용되는 프라이빗 및 퍼블릭 키 페어가 포함된 하드웨어 토큰이 있습니다. HSM에는 HSM 상태 동기화를 보호하는 암호화 키를 설정하기 위한 추가 프라이빗 및 퍼블릭 키 페어가 있습니다.