퍼블릭 키를 사용하여 오프라인 작업 수행
비대칭 KMS 키의 프라이빗 키는 AWS KMS에서 생성되며 절대로 암호화되지 않은 상태로 AWS KMS를 남겨 두지 않습니다. 프라이빗 키를 사용하려면 AWS KMS에 전화해야 합니다. 퍼블릭 키는 AWS KMS API 작업을 호출하여 AWS KMS 내부에서 사용할 수 있습니다. 또는 퍼블릭 키를 다운로드하여 AWS KMS 외부에서 사용하도록 공유할 수 있습니다.
퍼블릭 키를 공유하여 다른 사용자가 AWS KMS 외부의 데이터를 암호화할 수 있도록 할 수 있습니다(이 데이터는 사용자의 프라이빗 키로만 암호 해독할 수 있음). 또는 사용자가 프라이빗 키로 생성한 디지털 서명을 AWS KMS에서 다른 사용자가 확인하도록 허용할 수 있습니다. 또는 퍼블릭 키를 피어와 공유하여 공유 비밀을 도출할 수 있습니다.
AWS KMS 내부에서 비대칭 KMS 키의 퍼블릭 키를 사용하면 모든 AWS KMS 작업의 일부인 인증, 권한 부여 및 로깅을 활용할 수 있습니다. 또한 해독할 수 없는 데이터 암호화의 위험을 줄일 수 있습니다. 이러한 기능은 AWS KMS 외부에서는 유효하지 않습니다. 자세한 내용은 퍼블릭 키 다운로드 시 특별 고려 사항 섹션을 참조하세요.
작은 정보
데이터 키 또는 SSH 키를 찾고 계십니까? 이 주제에서는 AWS Key Management Service에서 비대칭 키(프라이빗 키를 내보낼 수 없음)를 관리하는 방법에 대해서 설명합니다. 내보낼 수 있는 데이터 키 페어(프라이빗 키가 대칭 암호화 KMS 키로 보호됨)에 대해서는 GenerateDataKeyPair 섹션을 참조하세요. Amazon EC2 인스턴스와 연결된 퍼블릭 키 다운로드에 대한 도움말은 Amazon EC2 Linux 인스턴스용 사용 설명서의 퍼블릭 키 검색과 Amazon EC2 Windows 인스턴스용 사용 설명서을 참조하세요.
퍼블릭 키 다운로드 시 특별 고려 사항
KMS 키를 보호하기 위해 AWS KMS는 액세스 제어, 인증된 암호화, 모든 작업에 대한 세부 로그를 제공합니다. 또한 AWS KMS는 KMS 키 사용을 일시적으로 또는 영구적으로 방지할 수 있는 옵션도 제공합니다. 마지막으로, AWS KMS 작업은 해독할 수 없는 데이터 암호화의 위험을 최소화하도록 설계되었습니다. AWS KMS 외부에서 다운로드한 퍼블릭 키를 사용하는 경우에는 이러한 기능을 사용할 수 없습니다.
- 승인
-
AWS KMS 내의 KMS 키에 대한 액세스를 제어하는 키 정책 및 IAM 정책은 AWS 외부에서 수행되는 작업에 영향을 미치지 않습니다. 퍼블릭 키를 가져올 수 있는 모든 사용자는 KMS 키로 데이터를 암호화하거나 서명을 확인할 권한이 없더라도 AWS KMS 외부에서 해당 키를 사용할 수 있습니다.
- 키 사용 제한 사항
-
키 사용 제한은 AWS KMS 외부에서는 적용되지 않습니다.
SIGN_VERIFY의KeyUsage가 있는 KMS 키를 사용하여 Encrypt 작업을 호출하면 AWS KMS 작업이 실패합니다. 그러나SIGN_VERIFY또는KEY_AGREEMENT의KeyUsage가 있는 KMS 키의 퍼블릭 키를 사용하여 AWS KMS 외부에서 데이터를 암호화하는 경우 데이터를 해독할 수 없습니다. - 알고리즘 제한 사항
-
AWS KMS가 지원하는 암호화 및 서명 알고리즘에 대한 제한은 AWS KMS 외부에서는 적용되지 않습니다. AWS KMS 외부에서 KMS 키의 퍼블릭 키를 사용하여 데이터를 암호화할 때 AWS KMS가 지원하지 않는 암호화 알고리즘을 사용하는 경우 이 데이터는 해독할 수 없습니다.
- KMS 키 비활성화 및 삭제
-
AWS KMS 내부 암호화 작업에서 KMS 키를 사용할 수 없게 하기 위해 취할 수 있는 조치는 다른 사람이 AWS KMS 외부의 퍼블릭 키를 사용할 수 없도록 하는 것이 아닙니다. 예를 들어 KMS 키를 비활성화하거나, KMS 키 삭제를 예약하거나, KMS 키를 삭제하거나, KMS 키에서 키 구성 요소를 삭제해도 AWS KMS 외부의 퍼블릭 키에는 영향을 주지 않습니다. 비대칭 KMS 키를 삭제하거나 키 구성 요소를 삭제하거나 분실하는 경우 AWS KMS 외부에서 퍼블릭 키로 암호화한 데이터는 복구할 수 없습니다.
- 로깅
-
요청, 응답, 날짜, 시간 및 인증된 사용자를 포함하여 모든 AWS CloudTrail 작업을 기록하는AWS KMS 로그는 AWS KMS 외부에서의 퍼블릭 키 사용을 기록하지 않습니다.
- SM2 키 페어를 사용한 오프라인 인증(중국 리전 전용)
-
AWS KMS 외부에서 SM2 퍼블릭 키로 서명을 인증하려면 고유한 ID를 지정해야 합니다. 기본적으로 AWS KMS는
1234567812345678를 구분 ID로 사용합니다. 자세한 내용은 SM2 키 페어를 사용한 오프라인 인증(중국 리전 전용)을 참조하세요.
