기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS KMS 증명된 플랫폼의 조건 키
AWS KMS 는 AWS Nitro Enclaves 및 NitroTPM에 대한 암호화 증명을 지원하는 조건 키를 제공합니다. AWS Nitro Enclaves는 엔클레이브라는 격리된 컴퓨팅 환경을 생성하여 매우 민감한 데이터를 보호하고 처리할 수 있는 Amazon EC2 기능입니다. NitroTPM은 EC2 인스턴스로 유사한 증명 기능을 확장합니다.
서명된 증명 문서와 함께 Decrypt, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair 또는 GenerateRandom API 작업을 직접적으로 호출하는 경우 이러한 API는 증명 문서의 퍼블릭 키로 응답의 평문을 암호화하고 평문 대신 사이퍼텍스트를 반환합니다. 이 사이퍼텍스트는 엔클레이브의 프라이빗 키를 사용해야만 해독할 수 있습니다. 자세한 내용은 AWS KMS에서 암호화 증명 지원 단원을 참조하십시오.
참고
키를 생성할 때 키 정책을 제공하지 않으면가 AWS KMS 키를 AWS 생성합니다. 이 기본 키 정책은 KMS 키를 소유한 AWS 계정 에 키에 대한 전체 액세스 권한을 부여하며 계정이 IAM 정책을 사용해 키에 대한 액세스를 허용할 수 있도록 합니다. 이 정책은 Decrypt와 같은 모든 작업을 허용합니다. AWS
에서는 KMS 키 정책에 최소 권한 원칙을 적용하는 것이 좋습니다. 또한 kms:*의 KMS 키 정책 작업을 NotAction:kms:Decrypt로 수정해 액세스를 제한할 수 있습니다.
다음 조건 키를 사용하면 서명된 증명 문서의 내용에 따라 이러한 작업에 대한 사용 권한을 제한할 수 있습니다. 작업을 허용하기 전에는 증명 문서를 이러한 AWS KMS 조건 키의 값과 AWS KMS 비교합니다.
