기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 구현
<a name="implementation"></a>

이 전략에서 *아키텍처*는 암호화 표준의 기술적 구현을 의미합니다. 이 섹션에는 [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 및 AWS 서비스와 같은 [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)가 정책 및 표준에 따라 data-at-rest 암호화 전략을 구현하는 데 도움이 되는 방법에 대한 정보가 포함되어 있습니다.

AWS KMS 는 데이터를 보호하는 데 사용되는 암호화 키를 생성하고 제어하는 데 도움이 되는 관리형 서비스입니다. KMS 키는 서비스를 암호화되지 않은 상태로 두지 않습니다. KMS 키를 사용하거나 관리하기 위해와 상호 작용 AWS KMS하며 많은가와 통합 AWS 서비스 됩니다 AWS KMS.

AWS CloudHSM 는 AWS 환경에서 *하드웨어 보안 모듈*(HSMs)을 생성하고 유지 관리하기 위한 암호화 서비스입니다. HSMs은 암호화 작업을 처리하고 암호화 키에 대한 보안 스토리지를 제공하는 컴퓨팅 디바이스입니다. 표준에 따라 FIPS 140-2 레벨 3 검증 하드웨어를 사용해야 하거나 표준에 따라 PKCS\#11, Java Cryptography Extensions(JCE) 및 Microsoft CryptoNG(CNG)와 같은 업계 표준 APIs를 사용해야 하는 경우를 사용하는 것이 좋습니다 AWS CloudHSM.

를 용 사용자 지정 키 스토어 AWS CloudHSM 로 구성할 수 있습니다 AWS KMS. 이 솔루션은의 편의성과 서비스 통합 AWS KMS 을에서 AWS CloudHSM 클러스터를 사용할 때의 추가 제어 및 규정 준수 이점과 결합합니다 AWS 계정. 자세한 내용은 [사용자 지정 키 스토어](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html)(AWS KMS 문서)를 참조하세요.

이 문서에서는 기능을 대략 AWS KMS 적으로 설명하고 AWS KMS 가 정책 및 표준을 해결하는 방법을 설명합니다.

## 비용, 편의성 및 제어
<a name="cost-convenience-control"></a>

AWS KMS 는 다양한 유형의 키를 제공합니다. 일부는에서 소유하거나 관리하며 AWS, 다른 일부는 고객이 생성하고 관리합니다. 키 및 비용 고려 사항에 대해 원하는 제어 수준에 따라 이러한 옵션 중에서 선택할 수 있습니다.
+ **AWS 소유 키** -는 이러한 키를 AWS 소유 및 관리하며 여러에서 사용됩니다 AWS 계정. 일부 AWS 서비스 는 AWS 소유 키를 지원합니다. 이러한 키를 무료로 사용할 수 있습니다. 이 키 유형을 사용하면 키 수명 주기 및 액세스 관리로 인한 비용과 관리 오버헤드를 피할 수 있습니다. 이러한 유형의 키에 대한 자세한 내용은 [AWS 소유 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)(AWS KMS 문서)를 참조하세요.
+ **AWS 관리형 키** - AWS 서비스 가와 통합되면 AWS KMS사용자를 대신하여 이러한 유형의 키를 생성, 관리 및 사용하여 해당 서비스의 리소스를 보호할 수 있습니다. 이러한 키는에서 생성되며 AWS 계정만 사용할 AWS 서비스 수 있습니다. AWS 관리형 키에는 월별 요금이 부과되지 않습니다. 프리 티어를 초과하여 사용할 경우 요금이 부과될 수 있지만, 일부는 이러한 비용을 AWS 서비스 부담합니다. 자격 증명 정책을 사용하여 이러한 키에 대한 보기 및 감사 액세스를 제어할 수 있지만는 키 수명 주기를 AWS 관리합니다. 이러한 유형의 키에 대한 자세한 내용은 [AWS 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)(AWS KMS 문서)를 참조하세요. 와 통합되는의 전체 목록은 [AWS 서비스 통합](https://aws.amazon.com/kms/features/#AWS_Service_Integration)(AWS 마케팅)을 AWS 서비스 AWS KMS참조하세요.
+ **고객 관리형 키** - 이러한 유형의 키를 생성, 소유 및 관리하고 키 수명 주기를 완전히 제어할 수 있습니다. 업무 분리의 경우 자격 증명 및 리소스 기반 정책을 모두 사용하여 키에 대한 액세스를 제어할 수 있습니다. 자동 [키 교체](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)를 설정할 수도 있습니다. 고객 관리형 키에는 월별 요금이 부과되며 프리 티어를 초과하면 사용 요금도 부과됩니다. 이러한 유형의 키에 대한 자세한 내용은 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)(AWS KMS 문서)를 참조하세요.

키 스토리지 및 사용에 대한 자세한 내용은 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/)(AWS 마케팅)을 참조하세요.

## 성능 및 암호화 유형
<a name="performance"></a>

표준에서 선택한 암호화 유형에 따라 두 가지 유형의 KMS 키를 사용할 수 있습니다.
+ **대칭** - 모든 AWS KMS key 유형은 대칭 암호화를 지원합니다. 고객 관리형 키를 암호화할 때 AES-256-GCM을 사용한 암호화 및 복호화에 단일 강도 키를 사용할 수 있습니다.
+ **비대칭** - 고객 관리형 키는 비대칭 암호화를 지원합니다. 용도에 따라 다양한 키 강도와 알고리즘 중에서 선택할 수 있습니다. 비대칭 키는 RSA를 사용하여 암호화 및 복호화할 수 있으며 RSA 또는 ECC를 사용하여 작업에 서명하고 확인할 수 있습니다. 비대칭 키 알고리즘은 본질적으로 역할을 분리하고 키 관리를 간소화합니다. 에서 비대칭 암호화를 사용하는 경우 AWS KMS키 교체 및 외부 키 구성 요소 가져오기와 같은 일부 작업은 지원되지 않습니다.

대칭 및 비대칭 키가 지원하는 AWS KMS 작업에 대한 자세한 내용은 [키 유형 참조](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-compare.html)(AWS KMS 설명서)를 참조하세요.

### 봉투 암호화
<a name="envelope-encryption"></a>

봉투 암호화가 내장되어 있습니다 AWS KMS. 에서는 일반 텍스트 또는 암호화된 형식으로 데이터 키를 AWS KMS생성합니다. 암호화된 데이터 키는 KMS 키로 암호화됩니다. KMS 키를 AWS CloudHSM 클러스터의 사용자 지정 키 스토어에 저장할 수 있습니다. 봉투 암호화의 이점에 대한 자세한 내용은 섹션을 참조하세요[봉투 암호화 정보](about-data-encryption.md#about-envelope-encryption).

## 키 스토리지 위치
<a name="storage"></a>

정책을 사용하여 AWS KMS 리소스에 대한 액세스를 관리합니다. *정책은* 누가 어떤 리소스에 액세스할 수 있는지 설명합니다. AWS Identity and Access Management (IAM) 보안 주체에 연결된 정책을 *자격 증명 기반 정책* 또는 *IAM 정책*이라고 합니다. 다른 종류의 리소스에 연결된 정책을 *리소스 정책*이라고 합니다. AWS KMS 에 대한 리소스 정책을 *키 정책*이라고 AWS KMS keys 합니다. 모든 KMS 키에는 키 정책이 있습니다.

키 정책은 암호화 키를 중앙 위치에 저장하거나 데이터에 더 가깝게 분산된 방식으로 저장할 수 있는 유연성을 제공합니다. 에서 KMS 키를 저장할 위치를 결정할 때 다음 AWS KMS 기능을 고려하세요. AWS 계정
+ **단일 리전 인프라 지원 -** 기본적으로 KMS 키는 리전별로 다르며 암호화 AWS KMS 되지 않은 상태로 두지 않습니다. 표준에 특정 지리적 위치에서 키를 제어하기 위한 엄격한 요구 사항이 있는 경우 단일 리전 키를 사용하여 탐색합니다.
+ **다중 리전 인프라 지원 ***-는 다중 리전 키라고 하는 특수 목적 키* 유형도 지원합니다. AWS KMS 여러에 데이터를 저장하는 AWS 리전 것은 재해 복구를 위한 일반적인 구성입니다. 다중 리전 키를 사용하면 다시 암호화하지 않고도 리전 간에 데이터를 전송할 수 있으며, 각 리전에 동일한 키가 있는 것처럼 데이터를 관리할 수 있습니다. 이 기능은 암호화 인프라가 액티브-액티브 구성의 여러 리전에 걸쳐 있어야 하는 표준의 경우 매우 유용합니다. 자세한 내용은 [다중 리전 키](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)(AWS KMS 문서)를 참조하세요.
+ **중앙 집중식 관리** - 표준에 따라 중앙 위치에 키를 저장해야 하는 경우 AWS KMS 를 사용하여 모든 암호화 키를 단일에 저장할 수 있습니다 AWS 계정. 키 정책을 사용하여 동일한 리전의 다른 계정에 있을 수 있는 다른 애플리케이션에 대한 액세스 권한을 부여합니다. 중앙 집중식 키 관리는 키 수명 주기 및 키 액세스 제어 관리의 관리 오버헤드를 줄일 수 있습니다.
+ **외부 키 구성** 요소 - 외부에서 생성된 키 구성 요소를 로 가져올 수 있습니다 AWS KMS. 이 기능에 대한 지원은 단일 및 다중 리전 대칭 키에 사용할 수 있습니다. 대칭 키의 구성 요소는 외부에서 생성되므로 생성된 키 구성 요소를 보호할 책임은 사용자에게 있습니다. 자세한 내용은 [가져온 키 구성](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) 요소(AWS KMS 문서)를 참조하세요.

## 액세스 제어
<a name="controlling-access"></a>

에서는 [키](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 정책 AWS KMS, [IAM 정책](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) 및 [권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)와 같은 정책 메커니즘을 사용하여 세분화된 수준의 액세스 제어를 구현할 수 있습니다. 이러한 제어를 사용하면 관리자, 데이터를 암호화할 수 있는 키 사용자, 데이터를 복호화할 수 있는 키 사용자, 데이터를 암호화 및 복호화할 수 있는 키 사용자와 같은 역할을 기반으로 직무 분리를 설정할 수 있습니다. 자세한 내용은 [인증 및 액세스 제어](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)(AWS KMS 문서)를 참조하세요.

## 감사 및 로깅
<a name="auditing-and-logging"></a>

AWS KMS 는 로깅 및 모니터링 목적으로 AWS CloudTrail 및 Amazon EventBridge와 통합됩니다. 모든 AWS KMS API 작업은 CloudTrail 로그에 기록되고 감사 가능합니다. Amazon CloudWatch, EventBridge 및 AWS Lambda 를 사용하여 알림 및 자동 문제 해결을 구성하는 사용자 지정 모니터링 솔루션을 설정할 수 있습니다. 자세한 내용은 [로깅 및 모니터링](https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html)(AWS KMS 문서화)을 참조하세요.