저장 시 암호화 - AWS IAM Identity Center
IAM Identity Center 암호화 컨텍스트암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어IAM Identity Center에 대한 암호화 키 모니터링AWS 관리형 애플리케이션의 IAM Identity Center 자격 증명 속성 저장, 암호화 및 삭제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 시 암호화

IAM Identity Center는 다음 키 유형을 사용하여 저장된 고객 데이터를 보호하기 위한 암호화를 제공합니다.

  • AWS 소유 키 (기본 키 유형) - IAM Identity Center는 기본적으로 이러한 키를 사용하여 데이터를 자동으로 암호화합니다. AWS 소유 키는 보거나 관리하거나 사용을 감사하거나 다른 용도로 사용할 수 없습니다. IAM Identity Center는 조치를 취하지 않고도 키 관리를 완전히 처리하여 데이터를 안전하게 유지합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서AWS 소유 키를 참조하세요.

  • 고객 관리형 키 - IAM Identity Center의 조직 인스턴스에서 사용자 및 그룹 속성과 같은 인력 자격 증명 데이터에서 저장 암호화할 대칭 고객 관리형 키를 선택할 수 있습니다. 사용자는 이러한 암호화 키를 생성하고 소유 및 관리합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.

    • 키에 대한 액세스를 IAM Identity Center 및 AWS 관리형 애플리케이션과 같이 액세스가 필요한 IAM 위탁자와 동일한 AWS Organizations 및 해당 관리자로 제한하는 키 정책을 설정하고 유지 관리합니다.

    • 교차 계정 액세스를 포함하여 키에 액세스하기 위한 IAM 정책 설정 및 유지 관리

    • 키 정책 활성화 및 비활성화

    • 키 암호화 자료 교체

    • 키 액세스가 필요한 데이터에 대한 액세스 감사

    • 태그 추가

    • 키 별칭 만들기

    • 삭제를 위한 스케줄 키

IAM Identity Center에서 고객 관리형 KMS 키를 구현하는 방법을 알아보려면 AWS IAM Identity Center에서 고객 관리형 KMS 키 구현 섹션을 참조하세요. 고객 관리형 키에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드고객 관리형 키를 참조하세요.

참고

IAM Identity Center는 AWS 소유 키를 사용해 저장된 데이터를 자동으로 암호화하여 고객 데이터를 무료로 보호합니다. 그러나 고객 관리형 키를 사용할 때는 AWS KMS 비용이 부과됩니다. 요금에 대한 자세한 내용은 AWS Key Management Service 요금을 참조하십시오.

고객 관리형 키 구현 시 고려 사항:

  • 기존 세션에 대한 예외: 고객 관리형 키를 사용한 저장 암호화는 사용자 세션에 일시적으로 저장된 사용자 및 그룹 속성과 같은 인력 자격 증명 데이터에도 적용됩니다. IAM Identity Center에서 고객 관리형 키를 구성하면 고객 관리형 키가 새 세션에서 인력 자격 증명 데이터를 암호화하는 데 사용됩니다. 이 기능이 출시되기 전에 시작된 세션에서 인력 자격 증명 데이터는 세션 만료(최대 90일) 또는 종료될 때까지 기본 AWS 소유 키로 암호화되어 유지되며, 이 시점에 이 데이터가 자동으로 삭제됩니다.

  • 전용 키: 기존 키를 재사용하는 대신 각 IAM Identity Center 인스턴스에 대해 새로운 전용 고객 관리형 KMS 키를 생성하는 것이 좋습니다. 이 접근 방식은 보다 명확한 업무 분리를 제공하고, 액세스 제어 관리를 간소화하며, 보안 감사를 보다 간단하게 만듭니다. 전용 키를 사용하면 키 변경의 영향을 단일 IAM Identity Center 인스턴스로 제한하여 위험을 줄일 수도 있습니다.

참고

IAM Identity Center는 인력 자격 증명 데이터의 암호화에 봉투 암호화를 사용합니다. KMS 키는 실제로 데이터를 암호화하는 데 사용되는 데이터 키를 암호화하는 래핑 키의 역할을 합니다.

AWS KMS에 대한 자세한 내용은 AWS 키 관리 서비스란?을 참조하세요.

IAM Identity Center 암호화 컨텍스트

암호화 컨텍스트는 데이터에 대한 추가 컨텍스트 정보를 포함하는 키-값 페어의 선택적 집합입니다. AWS KMS는 암호화 컨텍스트를 인증된 암호화를 지원하기 위한 추가 인증 데이터로 사용합니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우, AWS KMS는 암호화된 데이터에 암호화 컨텍스트를 바인딩합니다. 데이터 복호화를 위해, 이 요청에 동일한 암호화 컨텍스트를 포함합니다. 암호화 컨텍스트에 대한 자세한 내용은 AWS KMS 개발자 가이드를 참조하세요.

IAM Identity Center는 aws:sso:instance-arn, aws:identitystore:identitystore-arn 및 tenant-key-id의 암호화 컨텍스트 키를 사용합니다. 예를 들어 다음 암호화 컨텍스트는 IAM Identity Center에서 호출하는 AWS KMS API 작업에 나타날 수 있습니다.


"encryptionContext": {
    "tenant-key-id": "ssoins-1234567890abcdef",
    "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}

다음 암호화 컨텍스트는 Identity Store API에서 호출하는 AWS KMS API 작업에 나타날 수 있습니다.


"encryptionContext": {
    "tenant-key-id": "12345678-1234-1234-1234-123456789012",
    "aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}

암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어

그러나 키 정책 및 IAM 정책에서 암호화 컨텍스트를 조건으로 사용하여 대칭형 고객 관리형 키에 대한 액세스를 제어할 수도 있습니다. 고급 KMS 키 정책 설명의 일부 키 정책 템플릿에는 키가 특정 IAM Identity Center 인스턴스에서만 사용되도록 하기 위한 이러한 조건이 포함되어 있습니다.

IAM Identity Center에 대한 암호화 키 모니터링

고객 관리형 키를 IAM Identity Center 인스턴스와 함께 사용하면 AWS CloudTrail 또는 Amazon CloudWatch Logs를 사용하여 IAM Identity Center에서 AWS KMS로 보내는 요청을 추적할 수 있습니다. IAM Identity Center에서 호출하는 KMS API 작업은 2단계: KMS 키 정책 설명 준비에 나열되어 있습니다. 이러한 API 작업에 대한 CloudTrail 이벤트에는 암호화 컨텍스트가 포함되어 있으므로 IAM Identity Center 인스턴스에서 호출한 AWS KMS API 작업을 모니터링하여 고객 관리형 키로 암호화된 데이터에 액세스할 수 있습니다.

AWS KMS API 작업의 CloudTrail 이벤트에서 암호화 컨텍스트의 예: 

{
"requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
            "tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
        }
    }
}

AWS 관리형 애플리케이션의 IAM Identity Center 자격 증명 속성 저장, 암호화 및 삭제

AWS Systems Manager 및 Amazon CodeCatalyst와 같이 AWS IAM Identity Center으로 배포하는 일부 AWS 관리형 애플리케이션은 IAM Identity Center의 특정 사용자 및 그룹 속성을 자체 데이터 스토어에 저장합니다. IAM Identity Center의 고객 관리형 KMS 키를 사용한 저장 암호화는 AWS 관리형 애플리케이션에 저장된 IAM Identity Center 사용자 및 그룹 속성으로 확장되지 않습니다. AWS 관리형 애플리케이션은 저장하는 데이터에 대해 다양한 암호화 방법을 지원합니다. 마지막으로 IAM Identity Center 내에서 사용자 및 그룹 속성을 삭제하면 이러한 AWS 관리형 애플리케이션은 삭제 후에도 이 정보를 IAM Identity Center에 계속 저장할 수 있습니다. 애플리케이션 내에 저장된 데이터의 암호화 및 보안은 AWS 관리형 애플리케이션의 사용 설명서를 참조하세요.