가져온 키 구성 요소에 대한 특별 고려 사항 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가져온 키 구성 요소에 대한 특별 고려 사항

키 구성 요소를 로 가져오기 전에 가져온 키 구성 요소의 다음 특성을 이해해야 AWS KMS합니다.

키 구성 요소를 생성합니다.

보안 요구 사항에 부합하는 임의 소스를 이용해 키 구성 요소를 생성해야 합니다.

가용성과 지속성에 대한 책임은 고객에게 있습니다.

AWS KMS 는 가져온 키 구성 요소를 고가용성으로 유지하도록 설계되었습니다. 그러나 AWS KMS 는 가져온 키 구성 요소의 내구성을가 AWS KMS 생성하는 키 구성 요소와 동일한 수준으로 유지하지 않습니다. 자세한 내용은 가져온 키 구성 요소 보호을 참조하세요.

키 구성 요소를 삭제할 수 있음

KMS 키에서 가져온 키 구성 요소를 삭제하여 즉시 KMS 키를 사용할 수 없게 만들 수 있습니다. 또한 키 구성 요소를 KMS 키로 가져올 때 키의 만료 여부를 결정하고 만료 시간을 설정할 수 있습니다. 만료 시간이 되면가 AWS KMS 키 구성 요소를 삭제합니다. 키 구성 요소가 없으면 어떠한 암호화 작업에도 KMS 키를 사용할 수 없습니다. 키를 복원하려면 같은 키 구성 요소를 다시 가져와야 합니다.

비대칭 및 HMAC 키의 키 구성 요소는 변경할 수 없습니다.

KMS 키로 키 구성 요소를 가져오면, KMS 키는 키 구성 요소와 영구적으로 연결됩니다. 동일한 키 구성 요소를 가져오되, 다른 키 구성 요소를 KMS 키로 가져올 수는 없습니다. 또한 가져온 키 구성 요소가 있ㄴ느 KMS 키에 대한 자동 키 교체를 활성화할 수 없습니다. 하지만 가져온 키 구성 요소가 있는 KMS 키를 수동 교체할 수 있습니다.

대칭 암호화 키에 대해 온디맨드 교체를 수행할 수 있습니다.

가져온 키 구성 요소가 있는 대칭 암호화 키는 온디맨드 교체를 지원합니다. 여러 키 구성 요소를 이러한 키에 가져와 온디맨드 교체를 통해 현재 키 구성 요소를 업데이트할 수 있습니다. 현재 키 구성 요소는 암호화와 복호화에 모두 사용되지만, 다른(현재가 아닌) 키 구성 요소는 복호화에만 사용할 수 있습니다.

키 구성 요소 오리진을 변경할 수 없음

가져온 키 구성 요소용으로 설계된 KMS 키에는 변경할 수 없는 오리진 EXTERNAL 값이 있습니다. 가져온 키 구성 요소의 KMS 키를를 포함한 다른 소스의 키 구성 요소를 사용하도록 변환할 수 없습니다 AWS KMS. 마찬가지로 AWS KMS 키 구성 요소가 있는 KMS 키를 가져온 키 구성 요소용으로 설계된 키로 변환할 수 없습니다.

키 구성 요소를 내보낼 수 없음

가져온 키 구성 요소는 내보낼 수 없습니다. 가져온 키 구성 요소는 어떤 형식으로도 반환할 수 AWS KMS 없습니다. 가져온 키 구성 요소의 사본을 외부 AWS, 가급적이면 하드웨어 보안 모듈(HSM)과 같은 키 관리자에 보관하여 키 구성 요소를 삭제하거나 만료되면 다시 가져올 수 있도록 해야 합니다.

가져온 키 구성 요소가 있는 다중 리전 키를 생성할 수 있음

가져온 키 구성 요소가 있는 다중 리전에는 가져온 키 구성 요소가 있는 KMS 키의 특징을 가지며, AWS 리전간에 상호 운용이 가능합니다. 가져온 키 구성 요소가 있는 다중 리전 키를 생성하려면 동일한 키 구성 요소를 기본 KMS 키와 각 복제본 키로 가져와야 합니다. 다중 리전 키의 키 구성 요소 가져오기에 대한 자세한 내용은 섹션을 참조하세요새 키 구성 요소 가져오기.

비대칭 키 및 HMAC 키는 이동 가능하며 상호 운용이 가능함

외부에서 비대칭 키 구성 요소와 HMAC 키 구성 요소를 사용하여 가져온 키 구성 요소가 동일한 AWS KMS 키와 상호 작용 AWS 할 수 있습니다.

알고리즘에 사용되는 KMS 키에 불가역적으로 바인딩되는 AWS KMS 대칭 사이퍼텍스트와 달리는 암호화, 서명 및 MAC 생성에 표준 HMAC 및 비대칭 형식을 AWS KMS 사용합니다. 따라서 키는 이동이 가능하며 기존 에스크로 키 시나리오를 지원합니다.

KMS 키에 키 구성 요소를 가져온 경우 외부에서 가져온 키 구성 요소를 사용하여 다음 작업을 AWS 수행할 수 있습니다.

  • HMAC 키 - 가져온 키 구성 요소가 있는 HMAC KMS 키로 생성된 HMAC 태그를 확인할 수 있습니다. 가져온 키 구성 요소와 함께 HMAC KMS 키를 사용하여 외부의 키 구성 요소에 의해 생성된 HMAC 태그를 확인할 수도 있습니다 AWS.

  • 비대칭 암호화 키 - 외부에서 프라이빗 비대칭 암호화 키를 사용하여 KMS 키로 암호화된 사이퍼텍스트를 해당 퍼블릭 키로 AWS 복호화할 수 있습니다. 비대칭 KMS 키를 사용하여 외부에서 생성된 비대칭 사이퍼텍스트를 복호화할 수도 있습니다 AWS.

  • 비대칭 서명 키 - 가져온 키 구성 요소와 함께 비대칭 서명 KMS 키를 사용하여 외부의 프라이빗 서명 키에서 생성된 디지털 서명을 확인할 수 있습니다 AWS. 외부에서 비대칭 퍼블릭 서명 키를 사용하여 비대칭 KMS 키로 생성된 서명을 AWS 확인할 수도 있습니다.

  • 비대칭 키 계약 키 - 가져온 키 구성 요소가 있는 비대칭 키 계약 KMS 키를 사용하여 AWS외부 피어와 공유된 비밀을 도출할 수 있습니다.

동일한 키 구성 요소를 동일한 AWS 리전의 다른 KMS 키로 가져오는 경우 이러한 키도 상호 운용할 수 있습니다. 서로 다른에서 상호 운용 가능한 KMS 키를 생성하려면 가져온 키 구성 요소가 있는 다중 리전 키를 AWS 리전생성합니다.

RSA 프라이빗 키

  • AWS KMS 에서는 가져온 RSA 프라이빗 키에 FIPS 186-5, 섹션 A. 1.3에 설명된 테스트를 준수하는 주요 요소가 있어야 합니다. 다른 소프트웨어 또는 장치는 RSA 프라이빗 키의 이러한 소인수 검증에 대해 다른 알고리즘을 사용할 수 있습니다. 드문 경우지만 다른 알고리즘으로 검증된 키가 AWS KMS에서 허용되지 않을 수 있습니다.

대칭 암호화 키는 이동하거나 상호 운용할 수 없음

가 AWS KMS 생성하는 대칭 사이퍼텍스트는 이동하거나 상호 운용할 수 없습니다.는 이동성에 필요한 대칭 사이퍼텍스트 형식을 게시하지 AWS KMS 않으며, 형식은 예고 없이 변경될 수 있습니다.

  • AWS KMS 는 가져온 키 구성 요소를 사용 AWS하더라도 외부에서 암호화하는 대칭 사이퍼텍스트를 해독할 수 없습니다.

  • AWS KMS 는 사이퍼텍스트가 가져온 키 구성 요소가 있는 KMS 키로 암호화되었 AWS KMS더라도 외부의 AWS KMS 대칭 사이퍼텍스트 복호화를 지원하지 않습니다.

  • 가져온 키 구성 요소가 동일한 KMS 키는 상호 운용이 불가능합니다. 각 KMS 키에 고유한 사이퍼텍스트를 AWS KMS 생성하는 대칭 사이퍼텍스트입니다. 이 사이퍼텍스트 형식은 데이터를 암호화한 KMS 키만 해독할 수 있도록 보장합니다.

또한 AWS Encryption SDK 또는 Amazon S3 클라이언트 측 암호화와 같은 AWS 도구를 사용하여 대칭 사이퍼텍스트를 AWS KMS 해독할 수 없습니다.

따라서 가져온 키 구성 요소가 있는 키를 사용하여 키 구성 요소에 조건부로 액세스할 수 있는 권한이 있는 타사가 외부의 특정 사이퍼텍스트를 복호화할 수 있는 키 에스크로 배열을 지원할 수 없습니다 AWS KMS. 키 에스크로를 지원하려면 AWS Encryption SDK를 사용하여 AWS KMS와 독립적인 키로 메시지를 암호화합니다.