AWS Payment Cryptography 키 복제 - AWS 결제 암호화
다중 리전 키 복제의 이점다중 리전 키 복제 작동 방식제한 사항 및 고려 사항다중 리전 키 복제 활성화다중 리전 키 복제 비활성화보안 고려 사항모범 사례요금

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Payment Cryptography 키 복제

AWS Payment Cryptography는 다중 리전 키 복제를 지원하므로 특정 AWS Payment Cryptography 키의 키 구성 요소와 메타데이터를 동일한 AWS 파티션 및 계정 AWS 리전 내의 하나 이상의에 안전하게 배포할 수 있습니다.

소스 키는 프라이머리 리전 키(PRK)라고 하며 모든 키 관리 활동에 대한 신뢰할 수 있는 소스로 남아 있는 반면, PRK 및 복제본 리전 키(RRK)는 각각에서 암호화 작업에 사용할 수 있습니다 AWS 리전.

다중 리전 키 복제의 이점

다음은 다중 리전 키 복제의 몇 가지 이점을 간략하게 설명합니다.

  • 고가용성 애플리케이션을 더 쉽게 설정 - AWS Payment Cryptography는 키 배포를 처리하므로 특정 키의 분리된 복사본을 생성할 필요 없이 여러 AWS 리전 에서 키를 사용할 수 있습니다.

  • 고가용성 및 짧은 지연 시간 키 - 다중 리전 키 복제를 사용하면 여러에서 키에 액세스하여 고가용성을 AWS 리전 확보하여 지연 시간을 줄일 수 있습니다.

  • 키 구성 요소 내구성 - 복제본 리전 키는 전체 키 복제본이며 암호화 작업에서 기본 리전 키와 독립적으로 사용할 수 있습니다. RRK는 PRK의 치명적인 데이터 손실 시 내구성 있는 복제본을 제공합니다.

다중 리전 키 복제 작동 방식

다중 리전 키 복제가 활성화되면 AWS Payment Cryptography 서비스는 보안 키 배포 메커니즘을 사용하여 키 구성 요소와 메타데이터를 지정한 복제본에 복사 AWS 리전 합니다. 키 속성, 상태 및 활성화와 같은 기본 리전 키 메타데이터에 대한 변경 사항은 복제본 리전 키에 자동으로 복제됩니다.

제한 사항 및 고려 사항

다음은 몇 가지 다중 리전 키 복제 제한 사항 및 고려 사항입니다.

  • AWS 리전 또는 특정 Payment Cryptography 키에 대해이 기능을 활성화해야 합니다.

    • 에 대해이 기능을 활성화하면 활성화 후 생성된 AWS 리전모든 AWS Payment Cryptography 키가 지정된에 복제됩니다 AWS 리전. 이 리전에서 생성된 키는 기본 리전 키가 됩니다. 이 리전의 기존 키는 자동으로 복제되지 않습니다. 키 수준에서 내의 기존 키에 대해 다중 리전 키 복제를 활성화할 수 AWS 리전 있습니다.

    • 각 에는 고유한 다중 리전 키 복제 설정이 있을 AWS 리전 수 있습니다.

    • 키의 다중 리전 복제 설정이 AWS 리전 다중 리전 키 복제 설정보다 우선합니다.

  • 복제본 리전 키는 다른에 복제하도록 구성할 수 없습니다 AWS 리전.

  • 다중 리전 키 복제는 트리플 데이터 암호화 표준(3DES), 고급 암호화 표준(AES), 해시 기반 메시지 인증 코드(HMAC)와 같은 대칭 결제 암호화 키에 사용할 수 있습니다.

  • 비대칭 Payment Cryptography 키는 다중 리전 키 복제를 지원하지 않습니다.

  • 복제본 리전 키는 읽기 전용 키입니다. 기본 리전 키에 대한 모든 변경 사항은 복제본 리전 키에 적용됩니다.

  • 기본 리전 키 변경은 결국 복제본 리전 키와 일치합니다.

  • Payment Cryptography 키는 동일한 AWS 파티션 및 계정으로만 복제할 수 있습니다.

  • 복제본 리전 키는 AWS 계정 레벨 AWS Payment Cryptography 한도에 포함됩니다.

  • 기본 리전 키와 복제본 리전 키는 동일한 키 식별자를 사용하므로 IAM 정책에서 동일한 ARN으로 두 키를 모두 참조할 수 있습니다.

다중 리전 키 복제 활성화

AWS Payment Cryptography 키에 대해 다중 리전 키 복제를 활성화하는 방법에는 두 가지가 있습니다.

  1. AWS 리전: 다중 리전 키 복제는 활성화된 AWS 리전 경우 해당에서 생성된 모든 새 키에 적용됩니다. 이 메서드는 모든 키에 대해 일관된 복제를 제공합니다.

  2. 특정 AWS Payment Cryptography 키: 개별 키에 대한 다중 리전 키 복제를 관리하여 보다 세분화된 제어 수준을 제공할 수 있습니다.

다중 리전 키 복제가 활성화되면 Payment Cryptography 키가 지정한 AWS 리전 에 복제됩니다.

중요

다중 리전 키 복제는 일시 중지할 수 없습니다. 복제가 활성화되면 AWS 리전 지정한에 키가 자동으로 복제됩니다. 특정 AWS 리전 또는 Payment Cryptography 키에 대해 다중 리전 키 복제를 비활성화할 수 있습니다. 복제본 리전 키를 삭제하려면 기본 리전 키에서 복제 리전 AWS 리전 으로를 제거해야 합니다.

또는 PRK에서 StopKeyUsage API 또는 stop-key-usage CLI 명령을 호출하여 PRK 및 연결된 모든 RRKs. 암호화 작업에서는 이러한 키를 사용할 수 없습니다. StopKeyUsage API 또는 stop-key-usage CLI 명령을 사용하면 PRK에 대해 활성화된 진행 중인 다중 리전 키 복제가 중지되지 않습니다.

GetDefaultKeyReplicationRegions API 또는 get-default-key-replication-regions CLI 명령을 호출하여 특정 AWS 리전 의 AWS Payment Cryptography 키에 대한 다중 리전 키 복제 설정을 확인할 수 있습니다. 이 API 작업 또는 명령을 호출 AWS 리전 하는의 키는 PRK가 됩니다.

다음 절차에 따라 다중 리전 키 복제를 활성화합니다.

For AWS 리전

  • 다음 명령을 사용하여 지정한에 대해 다중 리전 키 복제 AWS 리전 를 활성화합니다. 이 예제에서는 미국 동부(오하이오) 및 미국 서부(오레곤)에서 다중 리전 키 복제가 활성화됩니다. 이 명령을 사용하려면 예제 명령의 기울임꼴 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

    aws payment-cryptography enable-default-key-replication-regions \
    --replication-regions us-east-2 us-west-2
참고

에 대해 다중 리전 키 복제를 활성화해도 기존 AWS Payment Cryptography 키의 복제 구성 AWS 리전 은 변경되지 않습니다. 키 수준에서 기존 키에 대해이 기능을 활성화할 수 있습니다. 에 대해 다중 리전 키 복제가 활성화된 후 생성된 키만 리전 복제 설정을 AWS 리전 사용합니다.

For specific AWS Payment Cryptography keys

  • 다음 명령을 사용하여 특정 Payment Cryptography 키에 대해 다중 리전 키 복제를 활성화합니다. 이 예제에서는 미국 동부(오하이오)에서 다중 리전 키 복제가 활성화됩니다. 이 명령을 사용하려면 예제 명령의 기울임꼴 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

    aws payment-cryptography add-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

또는 키 생성 요청에 복제를 포함하여이 기능이 활성화된 새 Payment Cryptography 키를 생성할 수 AWS 리전 있습니다.

참고

키 복제 설정이 AWS 리전 복제 설정보다 우선합니다.

다중 리전 키 복제 비활성화

다중 리전 키 복제를 비활성화하려면 다중 리전 키 복제가 활성화된 방식에 따라 disable-default-key-replication 또는 remove-key-replication-regions CLI 명령을 호출할 수 있습니다. 다중 리전 키 복제를 비활성화하려면 키의 ARN과 AWS 리전 를 지정해야 합니다.

고려 사항

복제 리전 키 삭제는 최종적으로 일관됩니다.

GetDefaultKeyReplicationRegions API 또는 get-default-key-replication-regions CLI 명령을 호출하여 특정 AWS 리전 의 AWS Payment Cryptography 키에 대한 다중 리전 키 복제 설정을 확인할 수 있습니다.

다음 절차에 따라 다중 리전 키 복제를 비활성화합니다.

For AWS 리전

  • 다음 명령을 사용하여 지정한에 대해 다중 리전 키 복제를 AWS 리전 비활성화합니다. 이 예제에서는 미국 동부(오하이오)에서 다중 리전 키 복제가 비활성화됩니다. 이 명령을 사용하려면 예제 명령의 기울임꼴 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

    aws payment-cryptography disable-default-key-replication-regions \
    --replication-regions us-east-2
For specific AWS Payment Cryptography keys

  • 다음 명령을 사용하여 특정 Payment Cryptography 키에 대한 다중 리전 키 복제를 비활성화합니다. 이 예제에서는 미국 동부(오하이오)에서 다중 리전 키 복제가 비활성화되어 있습니다. 이 명령을 사용하려면 예제 명령의 기울임꼴 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

    aws payment-cryptography remove-key-replication-regions \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h \
    --replication-regions us-east-2

보안 고려 사항

다음은 Payment Cryptography 키에 다중 리전 키 복제를 사용할 때의 보안 고려 사항입니다. 자세한 내용은 AWS Payment Cryptography의 보안 모범 사례 단원을 참조하십시오.

  • 키 구성 요소 공유를 제한합니다.

  • IAM 정책을 생성할 때 최소 권한의 보안 주체를 따릅니다.

  • 복제본 리전 키는 읽기 전용 키이므로 변경할 수 없습니다.

모범 사례

다음은 AWS Payment Cryptography 키와 함께 다중 리전 키 복제를 사용할 때의 몇 가지 모범 사례입니다.

  • 지정된에 대한 다중 리전 키 복제 AWS 리전 가 즉시 수행되지 않더라도 애플리케이션이 계속 작동하는지 확인합니다. 다중 리전 키 복제가 완료되는 시점을 알아야 하는 경우 GetKey API 작업을 사용하여 모니터링할 수 있습니다. 를 사용하여 키 복제 이벤트를 모니터링할 수 있습니다AWS CloudTrail.

  • 한 리전에서 다른 리전으로 장애 조치 시 자동 배포 프로세스를 테스트하고 구현 AWS 리전 합니다.

요금

AWS Payment Cryptography로 생성한 복제본 리전 키에 대해 요금이 부과됩니다. 이러한 키는 당 요금이 부과됩니다 AWS 리전. 최신 Payment Cryptography 요금 정보는 AWS Payment Cryptography 요금 페이지를 참조하세요.