가져온 키 구성 요소 보호
가져온 키 구성 요소는 전송 중 및 보관 중에 보호됩니다. 키 구성 요소를 가져오기 전에 FIPS 140-3 암호화 모듈 검증 프로그램
수신 시 AWS KMS는 AWS KMS HSM의 해당 프라이빗 키를 사용하여 키 구성 요소를 해독하고 HSM의 휘발성 메모리에만 존재하는 AES 대칭 키로 이를 다시 암호화합니다. 키 구성 요소는 HSM을 일반 텍스트로 두지 않습니다. 사용 중에만, AWS KMS HSM 내에서만 해독됩니다.
가져온 키 구성 요소와 함께 KMS 키를 사용하는 것은 KMS 키에 설정한 액세스 제어 정책에 의해서만 결정됩니다. 또한 별칭과 태그를 사용하여 KMS 키에 대한 액세스를 식별하고 제어할 수 있습니다. AWS CloudTrail과 같은 서비스를 사용하여 키를 활성화 및 비활성화하고 확인하며 모니터링할 수 있습니다.
하지만 키 구성 요소의 유일한 안전 장치 복사본은 유지해야 합니다. 이러한 추가 제어 조치에 대한 대가로 가져온 키 구성 요소의 내구성과 전반적인 가용성에 대한 모든 책임은 사용자가 부담해야 합니다. AWS KMS는 가져온 키 구성 요소의 가용성을 높게 유지하도록 설계되었습니다. 그러나 AWS KMS는 가져온 키 구성 요소의 지속성을 AWS KMS에서 생성한 키 구성 요소와 동일한 수준으로 유지하지는 않습니다.
내구성의 이러한 차이는 다음과 같은 경우에 의미가 있습니다.
-
가져온 키 구성 요소에 만료 시간을 설정한 경우, 이 시간이 지나면 AWS KMS가 키 구성 요소를 삭제합니다. AWS KMS는 KMS 키나 그 메타데이터를 삭제하지 않습니다. 가져온 키 구성 요소의 만료일이 가까워지면 이를 알리는 Amazon CloudWatch 경보를 생성할 수 있습니다.
AWS KMS가 KMS 키에 대해 생성하는 키 구성 요소는 삭제할 수 없으며, AWS KMS 키 구성 요소가 만료되도록 설정할 수도 없습니다.
-
가져온 키 구성 요소를 수동으로 삭제하면 AWS KMS가 키 구성 요소를 삭제하지만 KMS 키나 그 메타데이터를 삭제하지 않습니다. 반면 키 삭제를 예약하려면 7~30일의 대기 기간이 필요하며, 이 기간이 지나면 AWS KMS가 KMS 키와 그 메타데이터 및 키 구성 요소를 삭제합니다.
-
드물지만 AWS KMS에 영향을 미칠 리전 전반에 걸친 장애(완전한 정전 등)가 발생하는 경우, AWS KMS는 가져온 키 구성 요소를 자동으로 복원할 수 없습니다. 하지만 AWS KMS는 KMS 키와 해당 메타데이터를 복원할 수 있습니다.
제어하는 시스템에서 AWS 외부로 가져온 키 구성 요소의 복사본을 유지해야 합니다. 하드웨어 보안 모듈(HSM)과 같은 키 관리 시스템에 가져온 키 구성 요소의 내보내기 가능한 복사본을 저장하는 것이 좋습니다. 가장 좋은 방법은 내보낼 수 있는 키 구성 요소 사본과 함께 KMS 키 ARN과 AWS KMS가 생성한 키 구성 요소 ID에 대한 참조를 저장하는 것입니다. 가져온 키 구성 요소가 삭제되거나 만료되면 동일한 키 구성 요소를 다시 가져올 때까지 관련 KMS 키를 사용할 수 없게 됩니다. 가져온 키 구성 요소가 영구적으로 손실되면 KMS 키로 암호화된 사이퍼텍스트를 복구할 수 없습니다.
중요
단일 리전 대칭 암호화 키에는 다중 키 구성 요소가 연결될 수 있습니다. 이 키 구성 요소 중 하나라도 삭제되거나 만료되면(삭제되거나 만료되는 키 구성 요소가 PENDING_ROTATION인 경우는 제외), 전체 KMS 키를 즉시 사용할 수 없게 됩니다. 이러한 키와 연결된 만료되었거나 삭제된 키 구성 요소는 키가 암호화 작업에 사용 가능해지기 전에 반드시 다시 가져와야 합니다.
