AWS Key Management Service를 사용하면 데이터 보호에 사용되는 암호화 키를 중앙 집중식으로 제어할 수 있습니다. 데이터를 암호화하는 데 사용되는 암호화 키를 생성, 교체, 비활성화, 삭제 및 가져오고, 사용 정책을 정의하며, 사용에 대해 감사를 수행할 수 있습니다. AWS Key Management Service는 대부분의 다른 AWS 서비스와 통합되므로 고객이 제어하는 암호화 키로 이러한 AWS 서비스에 저장된 데이터를 손쉽게 암호화할 수 있습니다. AWS KMS는 AWS CloudTrail과 통합되어 어떤 키를 어떤 사용자가 어느 리소스에서 언제 사용했는지에 대한 감사를 수행할 수 있습니다. AWS KMS에서 개발자는 AWS Management Console의 1-Click 암호화를 사용하든 AWS SDK를 사용하든 손쉽게 데이터를 암호화하여 애플리케이션 코드에 쉽게 암호화를 추가할 수 있습니다.

AWS Key Management Service 사용해 보기

AWS 시작하기
또는 콘솔에 로그인

Amazon Web Services 무료 계정을 만들면 12개월 동안 제품과 서비스를 무료로 사용할 수 있습니다.

AWS 프리 티어 세부 정보 보기 »

AWS Key Management Service를 사용하면 암호화 키를 중앙에서 관리할 수 있습니다. AWS Management Console, AWS SDK 또는 CLI를 사용하여 손쉽게 키를 생성하고, 가져오고, 교체할 수 있을 뿐 아니라 사용 정책을 정의하고 사용을 감사할 수도 있습니다. 사용자가 가져왔든 아니면 KMS가 사용자를 위해 생성했든지 KMS의 마스터 키는 암호화된 형식으로 매우 내구력 있는 스토리지에 저장되므로, 필요할 때 마스터 키를 검색할 수 있습니다. 마스터 키로 암호화된 데이터를 다시 암호화할 필요 없이 KMS가 일 년에 한 번 KMS에 생성되어 있는 마스터 키를 자동으로 교체하도록 선택할 수 있습니다. KMS가 이전에 암호화된 데이터를 복호화할 때 이전 버전의 마스터 키를 사용할 수 있도록 유지하므로 이 키를 추적할 필요가 없습니다. 언제든지 새 마스터 키를 만들 수 있으며 이 키에 액세스할 수 있는 사용자 및 이 키로 사용할 수 있는 서비스를 제어할 수 있습니다. 또한, 자체 키 관리 인프라에서 키를 가져와서 KMS에서 사용할 수도 있습니다.

AWS Key Management Service는 대부분의 다른 AWS 서비스와 원활하게 통합됩니다. 즉, AWS KMS 마스터 키를 사용하여 손쉽게 이러한 서비스에 저장된 데이터를 암호화할 수 있습니다. 사용자를 위해 자동 생성되어 통합된 서비스 안에서만 사용할 수 있는 기본 마스터 키를 사용하거나, 사용자가 KMS에서 생성했거나 자체 키 관리 인프라에서 가져왔으며 사용 권한이 있는 사용자 정의 마스터 키를 선택할 수 있습니다.

KMS와 통합되는 AWS 서비스
Alexa for Business* Amazon Glacier Amazon WorkMail AWS Snowball
Amazon Athena Amazon Kinesis Data Streams Amazon WorkSpaces AWS Snowmobile

Amazon Aurora

Amazon Kinesis Firehose AWS Certificate Manager* AWS Snowball Edge
Amazon CloudWatch Logs Amazon Kinesis Video Streams AWS Cloud9 AWS Storage Gateway
Amazon Comprehend* Amazon Lex AWS CloudTrail AWS X-Ray
Amazon Connect Amazon Lightsail AWS CodeBuild  
Amazon DynamoDB* Amazon Simple Email Service(SES) AWS CodeCommit*  
Amazon DynamoDB Accelerator(DAX)* Amazon Simple Queue Service(SQS) AWS CodeDeploy  
Amazon EBS Amazon Neptune AWS CodePipeline  
Amazon EFS Amazon Relational Database Service(RDS) AWS Database Migration Service  
Amazon Elastic Transcoder Amazon Redshift AWS Lambda  
Amazon Elasticsearch Service Amazon SageMaker AWS Secrets Manager  
Amazon EMR Amazon S3 AWS Systems Manager  
Amazon Connect
Amazon Connect
Amazon Connect
Amazon Connect
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon S3, AWS Import/Export Snowball, AWS Storage Gateway, 
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon RDS, Amazon Redshift, Amazon DynamoDB*
Amazon Kinesis Video Streams
Amazon Kinesis Video Streams
AWS CloudTrail
AWS CloudTrail
AWS Systems Manager
Amazon Relational Database Service
Amazon Relational Database Service
AWS X-Ray
AWS X-Ray
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS Database Migration Service
AWS CodePipeline
AWS CodePipeline
AWS CodeDeploy
AWS CodeDeploy
AWS CodeCommit
AWS CodeBuild
AWS Cloud9
AWS Auto Scaling
AWS Auto Scaling
Amazon WorkSpaces
AWS Certificate Manager*
AWS Certificate Manager*
AWS CloudTrail
AWS CloudTrail
AWS CloudTrail
AWS Database Migration Service
AWS Database Migration Service
AWS Systems Manager
AWS Systems Manager
AWS Storage Gateway
Amazon Simple Email Service(SES)
Amazon Simple Email Service(SES)
Amazon WorkMail
AWS CloudTrail
AWS CloudTrail
AWS CodeBuild
AWS CodeBuild
AWS CodeCommit*
AWS CodeCommit*
AWS CodePipeline
AWS Snowball
AWS Snowmobile
AWS Storage Gateway

AWS 관리형 KMS 키만 지원합니다.

또한, AWS KMS는 AWS SDK 및 AWS CLI(명령줄 인터페이스)에 통합되고 RESTful API를 제공합니다. 이러한 인터페이스를 사용하여 데이터를 암호화하거나 해독하면 암호화나 해독 작업이 자동으로 수행됩니다. 사용할 KMS 마스터 키를 선택하기만 하면 됩니다. 또한, KMS는 AWS CloudFormation과 통합되므로 KMS용 CloudFormation 템플릿을 사용하여 신속하게 KMS에서 키를 생성할 수 있습니다.

AWS 계정에 AWS CloudTrail을 활성화하면 KMS에 저장한 키를 사용할 때마다 로그 파일에 기록되고, AWS CloudTrail을 활성화할 때 지정한 Amazon S3 버킷으로 로그 파일이 전달됩니다. 기록되는 정보에는 사용자와 시간, 날짜, 사용된 키에 대한 세부 정보가 포함됩니다.

AWS Key Management Service는 관리형 서비스입니다. AWS KMS 암호화 키의 사용이 증가하더라도 추가로 키 관리 인프라를 구매할 필요가 없습니다. AWS KMS는 암호화 키 요구에 맞게 자동으로 확장됩니다.

AWS KMS가 사용자를 위해 생성한 마스터 키 또는 사용자가 가져온 마스터 키는 AWS KMS에서 내보낼 수 없습니다. 키에 액세스해야 할 때 항상 사용할 수 있도록, AWS KMS는 내구성 99.999999999%에 맞게 설계된 시스템에 키의 암호화된 버전의 여러 사본을 저장합니다. KMS로 키를 가져오는 경우 언제든 다시 가져올 수 있도록 키 사본을 안전하게 유지 관리해야 합니다.

AWS KMS는 AWS 리전 내 여러 가용 영역에 배포되어 암호화 키의 고가용성을 제공합니다.

AWS KMS는 AWS 직원을 비롯하여 누구도 서비스에서 평문 키를 검색하지 못하도록 설계되었습니다. 고객 대신 키를 생성하도록 KMS에 요청하든 고객이 키를 서비스로 가져오든 관계없이 이 서비스에서는 FIPS 140-2 인증을 받은 하드웨어 보안 모듈(HSM)을 사용하여 키의 기밀성과 무결성을 보호합니다. 평문 키가 디스크에 작성되는 일은 없으며, 요청한 암호화 작업을 수행하는 데 필요할 때만 HSM 휘발성 메모리에서 사용됩니다. KMS 키는 키가 생성된 AWS 리전 외부로 전송되지 않습니다. KMS HSM 펌웨어 업데이트는 Amazon 내 독립적인 그룹에서 감사하고 검토하는 다자간 액세스 제어를 통해 제어됩니다.

AWS KMS 작동 방식에 대한 자세한 내용은 AWS Key Management Service 백서를 참조하십시오.

AWS KMS의 보안 및 품질 제어는 다음 규정 준수 체계에서 검증 및 인증을 받았습니다.

  • AWS 서비스 조직 규제(SOC 1, SOC 2 및 SOC 3) 보고서. AWS Artifact 페이지에서 이러한 보고서의 복사본을 다운로드할 수 있습니다.
  • PCI DSS 레벨 1. AWS 내 PCI DSS 준수 서비스에 대한 세부 정보는 PCI DSS FAQ에서 확인할 수 있습니다.
  • ISO 27001. AWS 내 ISO 27001 준수 서비스에 대한 자세한 내용은 ISO 27001 FAQ에서 확인할 수 있습니다.
  • ISO 27017. AWS 내 ISO 27017 준수 서비스에 대한 자세한 내용은 ISO-27017 FAQ에서 확인할 수 있습니다.
  • ISO 27018. AWS 내 ISO 27018 준수 서비스에 대한 자세한 내용은 ISO-27018 FAQ에서 확인할 수 있습니다.
  • ISO 9001. AWS 내 ISO 9001 준수 서비스에 대한 자세한 내용은 ISO-9001 FAQ에서 확인할 수 있습니다.
  • 펌웨어 버전 1.4.3을 실행하는 암호화 모듈은 전체적으로 FIPS 140-2 레벨 2 인증을 받았으며 물리적 보안을 비롯한 몇 가지 카테고리에 대해서는 레벨 3 인증을 받았습니다. 자세한 내용은 AWS KMS HSM에 대한 FIPS 140-2 인증서와 관련 보안 정책에서 확인할 수 있습니다.
  • FedRAMP. AWS FedRAMP 규정 준수에 대한 세부 정보는 FedRAMP 규정 준수 페이지를 참조하십시오. 
  • HIPAA 적격. 자세한 내용은 HIPAA 규정 준수 페이지를 참조하십시오.