저장 시 암호화 - AWS IAM Identity Center
IAM Identity Center 암호화 컨텍스트암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어IAM Identity Center의 암호화 키 모니터링AWS 관리형 애플리케이션의 IAM Identity Center ID 속성 스토리지, 암호화 및 삭제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 시 암호화

참고

에 대한 고객 관리형 KMS 키 AWS IAM Identity Center 는 현재 일부 AWS 리전에서 사용할 수 있습니다.

IAM Identity Center는 다음 키 유형을 사용하여 저장된 고객 데이터를 보호하기 위한 암호화를 제공합니다.

  • AWS 소유 키 (기본 키 유형) - IAM Identity Center는 기본적으로 이러한 키를 사용하여 데이터를 자동으로 암호화합니다. 다른 목적으로는 키를 보거나, 관리하거나, 감사하거나, AWS 소유 키를 사용할 수 없습니다. IAM Identity Center는 조치를 취하지 않고도 키 관리를 완전히 처리하여 데이터를 안전하게 유지합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서AWS 소유 키를 참조하세요.

  • 고객 관리형 키 - IAM Identity Center의 조직 인스턴스에서 사용자 및 그룹 속성과 같은 인력 자격 증명 데이터의 나머지 부분에서 암호화할 대칭 고객 관리형 키를 선택할 수 있습니다. 이러한 암호화 키를 생성, 소유 및 관리합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.

    • 키에 대한 액세스를 동일한 및 해당 관리자의 IAM Identity Center 및 AWS 관리형 애플리케이션과 같이 액세스가 필요한 IAM 보안 주체로만 제한하는 키 정책을 수립 AWS Organizations 하고 유지 관리합니다.

    • 교차 계정 액세스를 포함하여 키에 액세스하기 위한 IAM 정책 설정 및 유지 관리

    • 키 정책 활성화 및 비활성화

    • 키 암호화 자료 교체

    • 키 액세스가 필요한 데이터에 대한 액세스 감사

    • 태그 추가

    • 키 별칭 만들기

    • 삭제를 위한 스케줄 키

IAM Identity Center에서 고객 관리형 KMS 키를 구현하는 방법을 알아보려면 섹션을 참조하세요에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center. 고객 관리형 키에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서고객 관리형 키를 참조하세요.

참고

IAM Identity Center는 AWS 소유 KMS 키를 사용하여 저장 데이터 암호화를 자동으로 활성화하여 고객 데이터를 무료로 보호합니다. 그러나 고객 관리형 키를 사용할 때는 AWS KMS 요금이 적용됩니다. 요금에 대한 자세한 내용은 AWS Key Management Service 요금을 참조하십시오.

고객 관리형 키 구현 시 고려 사항:

  • 기존 세션에 대한 예외: 고객 관리형 키를 사용한 저장 시 암호화는 사용자 세션에 일시적으로 저장된 사용자 및 그룹 속성과 같은 인력 자격 증명 데이터에도 적용됩니다. IAM Identity Center에서 고객 관리형 키를 구성하면 고객 관리형 키가 새 세션에서 인력 자격 증명 데이터를 암호화하는 데 사용됩니다. 이 기능이 출시되기 전에 시작된 세션에서 작업 인력 자격 증명 데이터는 세션 만료(최대 90일) 또는 종료 AWS 소유 키 까지 기본값으로 암호화되어 유지되며,이 시점에이 데이터가 자동으로 삭제됩니다.

  • 전용 키: 기존 키를 재사용하는 대신 각 IAM Identity Center 인스턴스에 대해 새로운 전용 고객 관리형 KMS 키를 생성하는 것이 좋습니다. 이 접근 방식은 보다 명확한 업무 분리를 제공하고, 액세스 제어 관리를 간소화하며, 보안 감사를 보다 간단하게 만듭니다. 전용 키를 사용하면 키 변경의 영향을 단일 IAM Identity Center 인스턴스로 제한하여 위험을 줄일 수도 있습니다.

참고

IAM Identity Center는 작업 인력 자격 증명 데이터의 암호화에 봉투 암호화를 사용합니다. KMS 키는 실제로 데이터를 암호화하는 데 사용되는 데이터 키를 암호화하는 래핑 키의 역할을 합니다.

AWS KMS에 대한 자세한 내용은 AWS Key Management Service란 무엇입니까?를 참조하세요.

IAM Identity Center 암호화 컨텍스트

암호화 컨텍스트는 데이터에 대한 추가 컨텍스트 정보가 포함된 비밀이 아닌 키-값 페어의 선택적 집합입니다.는 암호화 컨텍스트를 인증된 암호화를 지원하기 위한 추가 인증된 데이터로 AWS KMS 사용합니다. https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#define-authenticated-encryption 데이터 암호화 요청에 암호화 컨텍스트를 포함하면는 암호화 컨텍스트를 암호화된 데이터에 AWS KMS 바인딩합니다. 요청에 동일한 암호화 컨텍스트를 포함해야 이 데이터를 해독할 수 있습니다. 암호화 컨텍스트에 대한 자세한 내용은 KMS 개발자 안내서를 참조하세요.

IAM Identity Center는 aws:sso:instance-arn, aws:identitystore:identitystore-arn 및 tenant-key-id의 암호화 컨텍스트 키를 사용합니다. 예를 들어 다음 암호화 컨텍스트는 IAM Identity Center AWS KMS API에서 호출한 API 작업에 나타날 수 있습니다. https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html 


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

Identity Store AWS KMS API에서 호출하는 API 작업에 다음 암호화 컨텍스트가 나타날 수 있습니다.


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어

그러나 키 정책 및 IAM 정책에서 암호화 컨텍스트를 조건으로 사용하여 대칭형 고객 관리형 키에 대한 액세스를 제어할 수도 있습니다. 의 일부 키 정책 템플릿에는 키가 특정 IAM Identity Center 인스턴스에서만 사용되도록 하기 위한 이러한 조건이 고급 KMS 키 정책 설명 포함되어 있습니다.

IAM Identity Center의 암호화 키 모니터링

IAM Identity Center 인스턴스에서 고객 관리형 KMS 키를 사용하는 경우 AWS CloudTrail 또는 Amazon CloudWatch Logs를 사용하여 IAM Identity Center가 보내는 요청을 추적할 수 있습니다 AWS KMS. IAM Identity Center에서 호출하는 KMS API 작업은에 나열되어 있습니다2단계: KMS 키 정책 설명 준비. 이러한 API 작업에 대한 CloudTrail 이벤트에는 암호화 컨텍스트가 포함되어 있으므로 IAM Identity Center 인스턴스에서 호출한 AWS KMS API 작업을 모니터링하여 고객 관리형 키로 암호화된 데이터에 액세스할 수 있습니다.

AWS KMS API 작업의 CloudTrail 이벤트에서 암호화 컨텍스트의 예: 


"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }

AWS 관리형 애플리케이션의 IAM Identity Center ID 속성 스토리지, 암호화 및 삭제

AWS Systems Manager 및 Amazon CodeCatalyst AWS IAM Identity Center와 같이 배포하는 일부 AWS 관리형 애플리케이션은 IAM Identity Center의 특정 사용자 및 그룹 속성을 자체 데이터 스토어에 저장합니다. IAM Identity Center의 고객 관리형 KMS 키를 사용한 저장 시 암호화는 AWS 관리형 애플리케이션에 저장된 IAM Identity Center 사용자 및 그룹 속성으로 확장되지 않습니다. AWS 관리형 애플리케이션은 저장하는 데이터에 대해 다양한 암호화 방법을 지원합니다. 마지막으로 IAM Identity Center 내에서 사용자 및 그룹 속성을 삭제하면 이러한 AWS 관리형 애플리케이션은 삭제 후에도이 정보를 IAM Identity Center에 계속 저장할 수 있습니다. 애플리케이션 내에 저장된 데이터의 암호화 및 보안은 AWS 관리형 애플리케이션의 사용 설명서를 참조하세요.