기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 에 대한 암호화 모범 사례 AWS Key Management Service [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)를 사용하면 암호화 키를 생성하고 제어하여 데이터를 보호할 수 있습니다.는 데이터를 암호화할 수 AWS 서비스 있는 대부분의 다른와 AWS KMS 통합됩니다. 전체 목록은 [AWS 서비스 와 통합 AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)을 참조하세요. AWS KMS 또한는와 AWS CloudTrail 통합되어 감사, 규제 및 규정 준수 요구 사항에 대한 KMS 키 사용을 로깅합니다. KMS 키는의 기본 리소스 AWS KMS이며 암호화 키의 논리적 표현입니다. KMS 키에는 세 가지 기본 유형이 있습니다. + 고객 관리형 키는 사용자가 생성하는 KMS 키입니다. + AWS 관리형 키는 사용자를 대신하여 계정에를 AWS 서비스 생성하는 KMS 키입니다. + AWS 소유 키는 여러에서 사용할 수 있도록이 AWS 서비스 소유하고 관리하는 KMS 키입니다 AWS 계정. 이러한 키 유형에 대한 자세한 내용은 [고객 키 및 AWS 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)를 참조하세요. 에서 AWS 클라우드정책은 리소스 및 서비스에 액세스할 수 있는 사용자를 제어하는 데 사용됩니다. 예를 들어 AWS Identity and Access Management (IAM)에서 자격 *증명 기반 정책은* 사용자, 사용자 그룹 또는 역할에 대한 권한을 정의하고, *리소스 기반 정책은* S3 버킷과 같은 리소스에 연결하고, 액세스가 허용되는 보안 주체, 지원되는 작업 및 충족해야 하는 기타 조건을 정의합니다. IAM 정책과 마찬가지로는 [키 정책을](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) AWS KMS 사용하여 KMS 키에 대한 액세스를 제어합니다. 각 KMS 키에는 키 정책이 있어야 하며 각 키에는 키 정책이 하나만 있을 수 있습니다. KMS 키에 대한 액세스를 허용하거나 거부하는 정책을 정의할 때는 다음 사항을 참고하세요. + 고객 관리형 키에 대한 키 정책을 제어할 수 있지만 AWS 관리형 키 또는 AWS 소유 키에 대한 키 정책은 직접 제어할 수 없습니다. + 키 정책을 사용하면 내에서 AWS KMS API 호출에 대한 세분화된 액세스 권한을 부여할 수 있습니다 AWS 계정. 키 정책에서 명시적으로 허용하는 경우를 제외하고, IAM 정책을 사용하여 KMS 키에 대한 액세스를 허용할 수는 없습니다. 키 정책의 권한이 없으면 IAM 정책으로 권한을 허용하더라도 효과가 없습니다. 자세한 내용은 [Allow IAM policies to allow access to the KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html#key-policy-default-allow-root-enable-iam)를 참조하세요. + IAM 정책을 사용하여 키 정책의 해당 권한 없이 고객 관리형 키에 대한 액세스를 거부할 수 있습니다. + 다중 리전 키에 대한 주요 정책 및 IAM 정책을 설계할 때는 다음을 고려하세요. + 키 정책은 다중 리전 키의 [공유 속성](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html#mrk-sync-properties)이 아니며 관련된 다중 리전 키 간에 복사되거나 동기화되지 않습니다. + `CreateKey` 및 `ReplicateKey` 작업을 사용하여 다중 리전 키를 생성하면 요청에 키 정책이 지정되지 않는 한 [기본 키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)이 적용됩니다. + [aws:RequestedRegion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requestedregion) 등의 조건 키를 구현하여 특정 AWS 리전으로 권한을 제한할 수 있습니다. + 권한 부여를 사용하여 다중 리전 기본 키 또는 복제본 키에 대한 권한을 허용할 수 있습니다. 그러나 다중 리전 키와 관련된 경우에도 단일 권한 부여를 사용하여 여러 KMS 키에 대한 권한을 허용할 수는 없습니다. 키 정책을 사용하고 AWS KMS 생성할 때 다음 암호화 모범 사례 및 기타 보안 모범 사례를 고려하세요. + AWS KMS 모범 사례는 다음 리소스의 권장 사항을 준수하세요. + [AWS KMS 권한 부여 모범 사례](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#grant-best-practices)(AWS KMS 설명서) + [Best practices for IAM policies](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html)(AWS KMS 설명서) + 업무 분리 모범 사례에 따라 키를 관리하는 사람과 키를 사용하는 사람에 대해 별도의 ID를 유지합니다. + 키를 생성하고 삭제하는 관리자 역할은 키를 사용할 수 없어야 합니다. + 일부 서비스는 데이터를 암호화하기만 하면 되며 키를 사용하여 데이터를 복호화하는 기능을 부여해서는 안 됩니다. + 키 정책은 항상 최소 권한 모델을 따라야 합니다. IAM 또는 키 정책의 작업에 `kms:*`를 사용하지 마세요. 이렇게 하면 보안 주체에게 키를 관리하고 사용할 수 있는 권한이 부여됩니다. + 키 정책 내에서 [kms:ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) 조건 키를 사용하여 고객 관리형 키 사용을 특정 AWS 서비스 로 제한합니다. + 키 유형 중에서 선택할 수 있는 경우 고객 관리형 키는 다음을 포함하여 가장 세부적인 제어 옵션을 제공하기 때문에 선호됩니다. + [인증 및 액세스 제어 관리](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) + [키 활성화 및 비활성화](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) + [AWS KMS keys교체](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) + [키 태그 지정](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) + [별칭 생성](https://docs.aws.amazon.com/kms/latest/developerguide/programming-aliases.html) + [AWS KMS keys삭제](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) + AWS KMS 승인되지 않은 보안 주체에 대한 관리 및 수정 권한을 명시적으로 거부해야 하며 권한이 없는 보안 주체에 대한 허용 문에 AWS KMS 수정 권한이 없어야 합니다. 자세한 내용은 [Actions, resources, and condition keys for AWS Key Management Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awskeymanagementservice.html) 섹션을 참조하세요. + KMS 키의 무단 사용을 감지하려면에서 [iam-customer-policy-blocked-kms-actions](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html) 및 iam-inline-policy-blocked-kms-actions 규칙을 AWS Config구현합니다. [iam-inline-policy-blocked-kms-actions](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html) 이렇게 하면 보안 주체가 모든 리소스에서 AWS KMS 복호화 작업을 사용하지 못합니다. + 권한이 없는 사용자 또는 역할이 명령으로 직접 또는 콘솔을 통해 KMS 키를 삭제하지 못하도록 AWS Organizations 에 서비스 제어 정책(SCPs)을 구현합니다. 자세한 내용은 [ SCPs](https://aws.amazon.com/blogs/mt/identity-guide-preventive-controls-with-aws-identity-scps/).AWS + CloudTrail 로그에 AWS KMS API 호출을 기록합니다. 요청한 내용, 요청한 소스 IP 주소, 요청한 사람 등의 관련 이벤트 속성이 기록됩니다. 자세한 내용은 [를 사용하여 API 호출 로깅 AWS KMSAWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)을 참조하세요. + [암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)를 사용하는 경우 민감한 정보가 포함되어서는 안 됩니다. CloudTrail은 일반 텍스트 JSON 파일로 암호화 컨텍스트를 저장하며, 이 파일은 정보가 포함된 S3 버킷에 액세스할 수 있는 모든 사람이 볼 수 있습니다. + 고객 관리형 키 사용을 모니터링할 때는 키 생성, 고객 관리형 키 정책 업데이트 또는 키 자료 가져오기와 같은 특정 작업이 탐지되면 알림을 받도록 이벤트를 구성합니다. 또한 조직 정책에 따라 키를 비활성화하거나 기타 인시던트 대응 작업을 수행하는 AWS Lambda 함수와 같은 자동 응답을 구현하는 것이 좋습니다. + [다중 리전 키](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-auth.html)는 규정 준수, 재해 복구, 백업 등의 특정 시나리오에 권장됩니다. 다중 리전 키의 보안 속성은 단일 리전 키와 크게 다릅니다. 다중 리전 키의 생성, 관리 및 사용을 승인할 때는 다음 권장 사항이 적용됩니다. + 보안 주체가 다중 리전 키를 필요로 하는 AWS 리전 에만 복제하도록 허용합니다. + 다중 리전 키에 대한 권한을 필요로 하는 보안 주체와 해당 키가 필요한 작업에 대해서만 부여합니다.