기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS Payment Cryptography의 보안 모범 사례 AWS Payment Cryptography는 IAM [정책, 키 정책 및 IAM](security_iam_service-with-iam.md) 정책을 구체화하기 위한 광범위한 정책 조건 키 세트, 키 블록과 관련된 PCI PIN 규칙의 기본 제공 적용 등 암호화 키의 보호를 강화하고 의도한 용도로 사용하도록 하기 위해 기본 제공되거나 선택적으로 구현할 수 있는 많은 보안 기능을 지원합니다. **중요** 제공된 일반적인 지침은 완전한 보안 솔루션을 나타내지는 않습니다. 모든 상황에 적합한 것은 아니기 때문에 이들이 규범적인 것은 아닙니다. + **키 사용 및 사용 모드**: AWS 결제 암호화는 ANSI X9 TR 31-2018 상호 운용 가능한 보안 키 교환 키 블록 사양에 설명된 대로 PCI PIN 보안 요구 사항 18-3에 따라 키 사용 및 사용 모드 제한을 따르고 적용합니다. 이렇게 하면 단일 키를 여러 용도로 사용할 수 있는 기능이 제한되고 키 메타데이터(예: 허용된 작업)가 키 구성 요소 자체에 암호화 방식으로 바인딩됩니다. AWS Payment Cryptography는 키 암호화 키(TR31\_K0\_KEY\_ENCRYPTION\_KEY)를 데이터 복호화에도 사용할 수 없도록 이러한 제한을 자동으로 적용합니다. 자세한 내용은 [AWS Payment Cryptography 키의 키 속성 이해](keys-validattributes.md) 단원을 참조하세요. + **대칭 키 구성 요소의 공유 제한**: 대칭 키 구성 요소(예: 핀 암호화 키 또는 키 암호화 키)를 최대 한 개체와 공유하세요. 더 많은 엔터티 또는 파트너에게 민감한 자료를 전송해야 하는 경우 추가 키를 생성합니다. AWS Payment Cryptography는 대칭 키 구성 요소 또는 비대칭 프라이빗 키 구성 요소를 일반에 노출하지 않습니다. + **별칭이나 태그를 사용하여 키를 특정 사용 사례 또는 파트너와 연결**: 별칭을 사용하여 키와 연결된 사용 사례를 쉽게 나타낼 수 있습니다 (예: BIN 12345과 연결된 카드 인증 키를 나타내는 alias/BIN\_12345\_CVK). 유연성을 높이려면 bin=12345, use\_case=acquiring, country=us, partner=foo와 같은 태그를 만들어 보세요. 별칭과 태그를 사용하여 사용 사례 발행과 획득 간의 액세스 제어를 적용하는 등 액세스를 제한할 수도 있습니다. + **최소 권한 액세스 실행**: IAM을 사용하여 개별 사용자가 키를 생성하거나 암호화 작업을 실행하는 것을 금지하는 등 개인이 아닌 시스템에 대한 프로덕션 액세스를 제한할 수 있습니다. IAM을 사용하여 취득자의 핀 생성 또는 검증 기능을 제한하는 등 사용 사례에 적합하지 않을 수 있는 명령과 키 모두에 대한 액세스를 제한할 수도 있습니다. 최소 권한 액세스를 사용하는 또 다른 방법은 민감한 작업(예: 키 가져오기)을 특정 서비스 계정으로 제한하는 것입니다. [AWS Payment Cryptography 자격 증명 기반 정책 예제](security_iam_id-based-policy-examples.md)의 예제를 참조하세요. **참고 항목** + [AWS Payment Cryptography의 ID 및 액세스 관리](security-iam.md) + *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)