다음 FAQ는 Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전의 KMS에는 적용되지 않습니다. 이 두 중국 리전과 관련된 콘텐츠는 이 FAQ 링크에서 확인하시기 바랍니다.  

일반

Q: AWS Key Management Service(KMS)란 무엇입니까?
AWS KMS는 데이터를 손쉽게 암호화할 수 있는 관리형 서비스입니다. AWS KMS는 고가용성 키 스토리지, 관리 및 감사 솔루션을 제공하므로, 이를 통해 자체 애플리케이션 내 데이터를 암호화할 뿐만 아니라 AWS 서비스에 저장되는 데이터의 암호화를 제어할 수도 있습니다.

Q: AWS KMS를 사용해야 하는 이유는 무엇입니까?
애플리케이션에서 데이터를 암호화해야 하는 개발자의 경우 AWS KMS 지원과 함께 AWS Encryption SDK를 사용하면 암호화 키를 보호하고 손쉽게 사용할 수 있습니다. 개발자 및 증가하는 애플리케이션을 지원하기 위해 확장 가능한 키 관리 인프라를 찾고 있는 IT 관리자의 경우 AWS KMS를 사용하면 라이선스 비용과 운영 부담을 줄일 수 있습니다. 규제나 규정 준수를 목적으로 데이터 보안 제공을 담당하는 경우 AWS KMS를 사용하면 데이터를 사용 및 저장하는 애플리케이션에서 일관되게 데이터가 암호화되는지 확인할 수 있습니다.

Q: AWS KMS를 시작하려면 어떻게 해야 합니까?
AWS KMS를 가장 쉽게 시작하는 방법은 각 서비스에서 계정에 자동으로 생성되는 AWS 관리형 마스터 키를 사용해 지원되는 AWS 서비스 내 데이터를 암호화하도록 선택하는 것입니다. 계정 또는 서비스에서 키에 대한 액세스 권한을 공유하는 기능을 포함해 키 관리에 대한 완전한 제어를 원한다면 KMS에서 나만의 마스터 키를 생성하면 됩니다. KMS에서 생성하는 마스터 키는 사용자 애플리케이션에서도 직접 사용할 수 있습니다. AWS KMS는 AWS 콘솔의 AWS 서비스 홈페이지에서 Security, Identity and Compliance(보안, 자격 증명 및 규정 준수) 아래 있는 KMS console(KMS 콘솔)에서 액세스할 수 있습니다. KMS API 역시 AWS KMS Command Line Interface에서 직접, 혹은 AWS SDK에서 프로그래밍 방식으로 액세스할 수 있습니다. KMS API는 AWS Encryption SDK를 사용해 사용자 애플리케이션에 저장된 데이터를 암호화하는 데 간접적으로 사용되기도 합니다. 자세히 알아보려면 시작하기 페이지를 참조하십시오.

Q: KMS는 어떤 리전에서 사용할 수 있습니까?
전 세계 리전별 제품 및 서비스 페이지에 가용성이 표시되어 있습니다.

Q: AWS KMS에서 어떤 키 관리 기능을 사용할 수 있습니까?
AWS KMS에서 수행할 수 있는 키 관리 기능은 다음과 같습니다.

  • 고유 별칭 및 설명과 함께 키 생성
  • 자체 키 구성 요소 가져오기
  • 키를 관리할 수 있는 IAM 사용자 및 역할 정의
  • 키를 사용하여 데이터를 암호화하고 복호화할 수 있는 IAM 사용자 및 역할 정의
  • AWS KMS가 매년 키를 자동으로 교체하도록 선택
  • 아무도 사용할 수 없도록 일시적으로 키 비활성화
  • 비활성화된 키 다시 활성화
  • 더 이상 사용하지 않는 키 삭제
  • AWS CloudTrail의 로그를 검사하여 키 사용 감사
  • 사용자 지정 키 스토어* 생성
  • 사용자 지정 키 스토어* 연결 및 분리
  • 사용자 지정 키 스토어* 삭제

*사용자 지정 키 스토어를 사용하려면 계정에서 CloudHSM 리소스를 사용할 수 있어야 합니다.

Q: AWS KMS는 어떻게 작동합니까?
AWS KMS를 사용하면 키를 중앙 집중식으로 관리하고 안전하게 저장할 수 있습니다. 이러한 키를 고객 마스터 키(CMK)라고 합니다. CMK는 KMS 또는 AWS CloudHSM 클러스터에서 생성하거나, 혹은 자체 키 관리 인프라에서 가져올 수 있습니다. 마스터 키는 하드웨어 보안 모듈(HSM)에서 보호하기 때문에 계속해서 모듈 내에서만 사용됩니다. 데이터를 KMS에 직접 제출할 때 이 마스터 키를 사용해 암호화하거나 복호화할 수 있습니다. 데이터를 암호화하거나 복호화할 수 있는 사용자와 조건을 결정하는 키 사용 정책을 설정합니다.

AWS KMS는 AWS 서비스를 비롯해 봉투 암호화라고 알려진 데이터 암호화 기법을 사용하는 클라이언트 측 도구 키트에 통합됩니다. 이 기법에서는 KMS가 데이터를 암호화하는 데 사용할 데이터 키를 생성하고, 이렇게 생성된 데이터 키는 KMS의 마스터 키를 사용해 스스로 암호화됩니다. 데이터 키는 KMS에서 유지하거나 관리하지 않습니다. AWS 서비스는 데이터를 암호화하고, 보호하는 데이터와 함께 암호화된 데이터 키 사본을 저장합니다. 이후 서비스가 데이터를 복호화해야 할 경우 KMS에게 마스터 키를 사용해 데이터 키를 복호화하도록 요청합니다. AWS 서비스에서 데이터를 요청하는 사용자가 마스터 키 정책에 따라 복호화 권한이 있다면 서비스가 KMS에서 복호화된 데이터 키를 수신한 후 이 데이터 키를 사용해 데이터를 복호화하고 평문으로 반환합니다. 마스터 키 사용 요청은 모두 AWS CloudTrail에 로깅되어 누가 무슨 키를 언제 어떤 컨텍스트에서 사용했는지 파악할 수 있습니다.

Q: AWS KMS를 사용하면 데이터가 어디에서 암호화됩니까?
AWS KMS를 사용한 데이터의 암호화 방식은 일반적으로 세 가지 시나리오가 있습니다. 첫째, KMS API에서 KMS에 저장된 마스터 키를 사용해 데이터를 직접 암호화하거나 복호화할 수 있습니다. 둘째, AWS 서비스가 KMS에 저장된 마스터 키를 사용해 데이터를 암호화하도록 선택할 수 있습니다. 이때는 데이터가 KMS의 마스터 키를 통해 보호되는 데이터 키를 사용해 암호화됩니다. 셋째, AWS KMS에 통합되는 AWS Encryption SDK를 사용해 AWS에서 실행되든 실행되지 않든 상관없이 자체 애플리케이션 내부에서 암호화를 수행할 수 있습니다.

Q: AWS KMS와 통합되는 AWS 클라우드 서비스에는 어떤 것이 있습니까?
AWS KMS는 대부분 다른 AWS 서비스와 원활하게 통합되므로, 확인란을 선택하는 것만으로도 손쉽게 이러한 서비스에서 데이터를 암호화할 수 있습니다. 경우에 따라 KMS에 저장되어 있지만 해당하는 AWS 서비스가 소유하고 관리하는 키를 사용해 기본적으로 데이터가 암호화되기도 합니다. 마스터 키는 대부분 경우 사용자가 자신의 계정 내에서 소유하고 관리합니다. 일부 서비스에서는 사용자가 키를 직접 관리할지, 혹은 서비스가 사용자를 대신해서 관리할지 선택할 수 있기도 합니다. 현재 KMS에 통합된 AWS 서비스 목록을 참조하십시오. 통합된 서비스가 AWS KMS를 사용하는 방법에 대한 자세한 내용은 AWS KMS 개발자 안내서를 참조하십시오.

Q: 봉투 암호화를 사용하는 이유는 무엇입니까? 데이터를 AWS KMS에 보내어 직접 복호화하면 안 되는 이유는 무엇입니까?
AWS KMS는 4KB 이하의 데이터를 전송하여 직접 암호화되도록 지원하는 반면 봉투 암호화는 상당한 성능 이점을 제공합니다. AWS KMS로 직접 데이터를 암호화할 때는 전체 데이터를 네트워크를 통해 전송해야 합니다. 봉투 암호화를 사용하면 네트워크를 통한 데이터 키의 요청 및 전송 용량이 훨씬 작기 때문에 네트워크 부하가 줄어듭니다. 데이터 키는 애플리케이션, 또는 암호화하는 AWS 서비스의 로컬에서 사용되기 때문에 전체 데이터 블록을 KMS에 전송하느라 네트워크 지연 시간을 초래할 필요가 전혀 없습니다.

Q: 사용자가 생성하는 마스터 키와 다른 AWS 서비스에서 사용자에게 자동으로 생성되는 마스터 키의 차이점이 무엇입니까?
AWS 서비스에서 자동으로 데이터를 암호화하도록 할 때 사용할 특정 고객 마스터 키(CMK)를 선택할 수 있습니다. 이러한 마스터 키를 고객 관리형 CMK라고 부르며, 고객 관리형 CMK에 대해서는 사용자가 완전한 제어 권한을 갖습니다. 따라서 사용자가 각 키마다 액세스 제어 및 사용 정책을 정의하는 동시에 다른 계정과 서비스에게 고객 관리형 CMK를 사용할 권한을 부여할 수 있습니다. 사용자가 CMK를 지정하지 않고 해당 서비스 내에서 암호화된 리소스를 처음 생성할 경우에는 서비스가 AWS 관리형 CMK를 생성합니다. 이때는 AWS가 사용자를 대신해 AWS 관리형 CMK에 연결된 정책을 관리합니다. 사용자는 자신의 계정에서 AWS 관리형 키를 추적할 수 있으며, 모든 사용 기록은 AWS CloudTrail에 로깅됩니다. 단, 키 자체를 직접적으로 제어할 수 있는 권한은 사용자에게 없습니다.

Q: 왜 내가 내 고객 마스터 키를 생성해야 합니까?
AWS KMS에서 자체 CMK를 생성하면 AWS 관리형 CMK와 비교해 더욱 강력한 제어 권한을 얻게 됩니다. 고객 관리형 CMK를 생성할 때는 AWS KMS에서 생성되는 키 구성 요소를 사용할지, AWS CloudHSM 클러스터에서 생성되는 키 구성 요소를 사용할지, 혹은 자체 키 구성 요소를 가져올지 선택할 수 있습니다. 또한 AWS KMS에서 생성된 경우에는 키에 대한 별칭과 설명을 정의하고, 키를 1년에 한 번 자동으로 교체하도록 선택할 수도 있습니다. 그 밖에 키에 대한 모든 권한을 정의하여 누가 키를 사용하거나 관리할 수 있는지 제어할 수도 있습니다.

Q: AWS KMS로 키를 가져올 수 있습니까?
예. 자체 키 관리 인프라의 키 사본을 AWS KMS로 가져와서 통합된 다른 AWS 서비스에서 사용하거나 자체 애플리케이션 내에서만 사용할 수 있습니다.

Q: 가져온 키는 언제 사용합니까?
가져온 키를 사용하여 AWS KMS에 있는 키의 생성, 수명 주기 관리 및 내구성에 대한 제어를 강화할 수 있습니다. 가져온 키는 규정 준수 요구 사항을 충족하는 데 도움이 되도록 설계되었습니다. 이 요구 사항에는 인프라에서 안전한 키 사본을 생성 또는 유지 관리하는 기능과 AWS 인프라에서 가져온 키 사본을 즉시 삭제하는 기능이 포함될 수 있습니다.

Q: 어떤 유형의 키를 가져올 수 있습니까?
256비트 대칭 키를 가져올 수 있습니다.

Q: AWS KMS로 가져오는 키는 전송 중에 어떻게 보호됩니까?
가져오기 프로세스에서 키는 두 개의 RSA PKCS#1 스키마 중 하나를 사용하여 AWS KMS 제공 퍼블릭 키로 래핑되어야 합니다. 이렇게 하면 암호화된 키는 AWS KMS에서만 복호화할 수 있습니다.

Q: 내가 가져오는 키와 AWS KMS에서 생성하는 키의 차이점은 무엇입니까?
두 가지 큰 차이점이 있습니다.

  1. 가져온 키 사본을 언제든지 다시 가져올 수 있도록 키 관리 인프라에서 유지 관리하는 것은 사용자의 책임입니다. 하지만 AWS KMS에서 사용자를 대신해 생성된 키는 사용자가 키 삭제 일정을 예약할 때까지 AWS가 가용성, 보안 및 내구성을 보장합니다.
  2. 가져온 키에 대해서는 유효 기간을 설정할 수 있습니다. AWS KMS는 이 유효 기간이 지나면 키 구성 요소를 자동으로 삭제합니다. 그 밖에 가져온 키 구성 요소를 온디맨드 방식으로 삭제하는 것도 가능합니다. 하지만 두 경우 모두 키 구성 요소만 삭제될 뿐 KMS의 CMK 참조를 비롯해 연결된 메타데이터는 유지되기 때문에 향후 키 구성 요소를 다시 가져올 수도 있습니다. AWS KMS에서 생성된 키는 유효 기간도 없고 바로 삭제할 수도 없습니다. 의무적으로 7~30일을 기다려야 합니다. 고객 관리형 CMK에서는 키 구성 요소를 가져왔든 가져오지 않았든 상관없이 모두 수동으로 비활성화하거나, 혹은 삭제 일정을 예약할 수 있습니다. 이때 CMK 자체만 삭제될 뿐 기본적인 키 구성 요소는 삭제되지 않습니다.

Q: 키를 교체할 수 있습니까?
예. AWS KMS에서 생성된 키에 한해 AWS KMS가 CMK를 매년 자동으로 교체하도록 선택할 수 있습니다. 키를 가져왔거나, 혹은 AWS CloudHSM 클러스터에서 KMS 사용자 지정 키 스토어 기능을 사용해 생성하였다면 자동 키 교체가 지원되지 않습니다. 키를 AWS KMS로 가져오거나 사용자 지정 키 스토어를 사용하려고 한다면 원할 때마다 새로운 CMK를 생성한 후 키 별칭을 이전 키에서 새로운 키로 매핑해야만 키를 수동으로 교체할 수 있습니다.

Q: AWS KMS의 키가 교체된 후 내 데이터를 다시 암호화해야 합니까?
키를 AWS KMS에서 자동으로 교체하도록 선택한 경우 데이터를 다시 암호화할 필요가 없습니다. AWS KMS가 자동으로 키의 이전 버전을 보관하여 이전 버전의 키로 암호화된 데이터의 복호화에 사용합니다. AWS KMS의 키에 대한 모든 새 암호화 요청은 최신 버전의 키로 암호화됩니다.

가져온 키 또는 사용자 지정 키를 수동으로 교체하는 경우에는 이전 버전의 키 사용 여부에 따라 데이터를 다시 암호화해야 할 수도 있습니다.

Q: AWS KMS에서 키를 삭제할 수 있습니까?
예. AWS KMS에서 생성한 고객 마스터 키 및 연결된 메타데이터의 삭제 일정을 예약할 수 있습니다. 설정 가능한 대기 기간은 7일에서 30일입니다. 이 대기 기간 동안 키를 삭제했을 때 애플리케이션 및 이 키에 의존하는 사용자에게 미치는 영향을 확인할 수 있습니다. 기본 대기 기간은 30일입니다. 대기 기간 동안 키 삭제를 취소할 수 있습니다. 삭제가 예정된 키는 대기 기간 동안 삭제를 취소할 때까지 사용할 수 없습니다. 삭제를 취소하지 않은 키는 설정한 대기 기간이 끝나면 삭제됩니다. 한 번 삭제된 키는 더 이상 사용할 수 없습니다. 삭제된 마스터 키로 보호된 모든 데이터에 접근할 수 없습니다.

가져온 키 구성 요소가 연결된 고객 마스터 키의 경우, 두 가지 방법으로 고객 마스터 키 ID 또는 메타데이터를 삭제하지 않고 키 구성 요소를 삭제할 수 있습니다. 첫 번째, 대기 기간 없이 언제든 가져온 키 구성 요소를 삭제할 수 있습니다. 두 번째, 키 구성 요소를 고객 마스터 키로 가져올 때 가져온 키 구성 요소가 삭제되기 전까지 AWS에서 이를 얼마 동안 사용할 수 있는지 만료 시간을 정의할 수 있습니다. 키 구성 요소를 다시 사용해야 하는 경우 이를 고객 마스터 키로 다시 가져올 수 있습니다.

Q: 가져온 키 구성 요소가 만료되었거나 실수로 삭제한 경우 어떻게 해야 합니까?
유효한 만료 기간이 적용된 키 구성 요소의 사본을 AWS KMS의 원래 고객 마스터 키로 다시 가져와서 사용할 수 있습니다.

Q: 키를 다시 가져와야 하는 경우 알림을 받을 수 있습니까?
예. 키를 고객 마스터 키로 가져오면, 가져온 키의 만료 시간을 알려주는 Amazon CloudWatch 지표를 몇 분 간격으로 받게 됩니다. 또한, 고객 마스터 키에 연결된 가져온 키가 만료되면 Amazon CloudWatch 이벤트를 받습니다. 가용성 위험을 방지할 수 있도록 이러한 지표 또는 이벤트에 따라 조치를 취하는 논리를 구축하고 새로운 만료 기간이 적용된 키를 자동으로 다시 가져올 수 있습니다.

Q: AWS KMS를 사용하여 AWS 클라우드 서비스 이외의 데이터 암호화를 관리할 수 있습니까?
예. AWS KMS는 AWS SDK, AWS Encryption SDK, Amazon DynamoDB Client-side Encryption 및 Amazon S3 Encryption Client에서 지원되므로 자체 애플리케이션이 어디에서 실행되든 데이터 암호화를 지원할 수 있습니다. 자세한 내용은 AWS Crypto ToolsAWS 기반 개발 웹 사이트에서 확인하시기 바랍니다.

Q: AWS KMS에 만들 수 있는 키 개수에 제한이 있습니까?
리전별로 계정당 최대 1,000개의 고객 마스터 키를 생성할 수 있습니다. 활성화 및 비활성화된 고객 마스터 키 수가 제한치에 가까워지면 더 이상 사용하지 않는 비활성화된 키를 삭제할 것을 권장합니다. 지원되는 AWS 서비스 내에서 사용하기 위해 관리자를 대신하여 생성되는 AWS 관리형 마스터 키는 이 제한 계산에 포함되지 않습니다. 마스터 키를 사용하여 파생되고 애플리케이션에서 또는 AWS 서비스에 의해 관리자를 대신하여 데이터를 암호화하는 데 사용되는 데이터 키의 수에는 제한이 없습니다. AWS 지원 센터를 방문하여 고객 마스터 키 제한 상향을 요청할 수 있습니다.

Q: AWS KMS는 서비스 수준 계약(SLA)을 제공합니까?
예. AWS KMS SLA는 고객의 월간 가동률이 월별 결제 주기 동안 서비스 약정보다 낮을 경우 서비스 크레딧을 제공합니다.

사용자 지정 키 스토어

Q: 사용자 지정 키 스토어가 무엇입니까?
AWS KMS 사용자 지정 키 스토어 기능은 AWS CloudHSM에서 제공하는 제어 기능과 AWS KMS의 통합 및 사용 편의성을 결합한 것입니다. 사용자 고유의 CloudHSM 클러스터를 구성한 후 기본 KMS 키 스토어가 아닌 이 클러스터를 전용 키 스토어로 사용하도록 KMS에게 권한을 부여할 수 있습니다. KMS에서 키를 생성할 때 CloudHSM 클러스터에서 키 구성 요소를 생성하도록 선택할 수 있습니다. 사용자 지정 키 스토어에서 생성된 마스터 키는 절대 평문 상태에서 CloudHSM 클러스터의 HSM을 벗어나지 않으며, 이러한 키를 사용하는 모든 KMS 작업은 HSM에서만 수행됩니다. 그 밖에 모든 관점에서 사용자 지정 키 스토어에 저장되는 마스터 키는 다른 KMS CMK와 일치합니다.

사용자 지정 키 스토어의 사용 적합성 여부를 결정할 수 있는 추가 지침은 이 블로그에서 찾아볼 수 있습니다.

Q: 사용자 지정 키 스토어를 사용해야 하는 이유가 무엇입니까?
AWS CloudHSM 클러스터는 사용자가 제어하기 때문에 AWS KMS 마스터 키의 수명 주기를 관리할 수 있는 옵션은 KMS와 상관없이 사용자에게 있습니다. 사용자 지정 키 스토어가 유용한 이유는 다음과 같이 4가지입니다. 첫째, 단일 테넌트 HSM에서, 혹은 직접 제어하는 HSM에서 키를 명시적으로 보호해야 하는 경우가 발생할 수 있기 때문입니다. 둘째, FIPS 140-2 레벨 3 인증을 받은 HSM에 키를 저장해야 하는 경우가 발생할 수 있기 때문입니다(표준 KMS 키 스토어에서 사용되는 HSM은 다수의 카테고리에서 레벨 3과 함께 레벨 2 인증을 받았거나 받는 중입니다). 셋째, KMS에서 키 구성 요소를 바로 제거한 후 별도의 수단으로 제거 여부를 확인하는 기능이 필요할 수도 있기 때문입니다. 마지막으로, KMS 또는 AWS CloudTrail에 상관없이 모든 키 사용을 감사할 수 있는 요건이 필요할 수도 있기 때문입니다.

Q: 사용자 지정 키 스토어가 키 관리 방식에 영향을 미칩니까?
사용자 지정 키 스토어에서 키를 관리할 경우 기본 AWS KMS 키 스토어와 비교해 두 가지 차이점이 있습니다. 사용자 지징 키 스토어에서는 키 구성 요소를 가져올 수 없으며, KMS에서는 키를 자동으로 교체할 수 없습니다. 그 밖에 모든 관점에서는 생성 가능한 키의 유형, 키의 별칭 사용 방식 및 정책 정의 방법을 포함해 사용자 지정 키 스토어에 저장되는 키는 다른 KMS 고객 관리형 CMK와 동일하게 관리됩니다.

Q: 사용자 지정 키 스토어를 사용해 AWS 관리형 고객 마스터 키를 저장할 수 있습니까?
안 됩니다. 고객 관리형 CMK만 AWS KMS 사용자 지정 키 스토어에 저장하여 관리할 수 있습니다. 다른 AWS 서비스에서 데이터를 암호화할 목적으로 사용자를 대신해 생성되는 AWS 관리형 CMK는 항상 KMS 기본 키 스토어에서 생성되고 저장됩니다.

Q: 사용자 지정 키 스토어가 키 사용 방식에 영향을 미칩니까?
아닙니다. AWS KMS에게 CMK를 사용해 데이터를 암호화/복호화하도록 하는 API 요청은 동일하게 처리됩니다. 인증 및 승인 프로세스는 키의 저장 위치와 상관없습니다. 사용자 지정 키 스토어에 저장된 키를 사용하는 모든 작업 역시 AWS CloudTrail에 동일하게 로깅됩니다. 하지만 실제 암호화 작업은 사용자 지정 키 스토어 또는 기본 KMS 키 스토어에서 배타적으로 일어납니다.

Q: 사용자 지정 키 스토어에 저장된 키의 사용을 감사하려면 어떻게 해야 합니까?
사용자 지정 키 스토어를 사용할 때는 AWS KMS에서 AWS CloudTrail에 로깅하는 작업 외에도 세 가지 감사 메커니즘이 추가로 제공됩니다. 첫째, AWS CloudHSM 역시 모든 API 작업, 예를 들어 클러스터를 생성하거나 HSM을 추가 또는 제거하는 작업 등을 CloudTrail에 로깅합니다. 둘째, 각 클러스터 역시 자체 로컬 로그를 수집하여 사용자 및 키 관리 작업을 기록합니다. 셋째, 각 CloudHSM 인스턴스는 로컬 사용자 및 키 관리 작업 로그를 AWS CloudWatch에 복사합니다.

Q: 사용자 지정 키 스토어를 사용할 경우 키의 가용성에 어떠한 영향을 미칩니까?
AWS KMS 사용자 지정 키 스토어를 사용할 때 KMS에서 사용할 수 있는 키의 가용성은 사용자 본인에게 책임이 있습니다. CloudHSM의 구성 오류, 혹은 AWS CloudHSM 클러스터에서 키 구성 요소의 우발적 삭제 등은 가용성에 영향을 미칠 수 있습니다. 사용하는 HSM 수와 선택하는 가용 영역(AZ) 역시 클러스터의 복원력에 영향을 미칩니다. 모든 키 관리 시스템에서 그렇듯이 키의 가용성이 암호화된 데이터의 복구에 어떤 영향을 미칠 수 있는지 정확하게 이해하고 있어야 합니다.

Q: 사용자 지정 키 스토어와 관련하여 어떠한 성능 제한이 있습니까?
AWS KMS API 호출을 통해 AWS KMS 사용자 지정 키 스토어에 저장되는 키를 사용할 수 있는 비율은 기본 AWS KMS 키 스토어에 저장되는 키와 비교하여 낮습니다. 현재 성능 제한은 KMS 개발자 안내서를 참조하십시오.

Q: 사용자 지정 키 스토어의 사용에 따른 비용은 얼마입니까?
사용자 지정 키 스토어를 사용하더라도 AWS KMS 요금은 바뀌지 않습니다. 단, 사용자 지정 키 스토어를 사용하려면 AWS CloudHSM 클러스터에 HSM이 2개 이상 있어야 합니다. 이러한 HSM들은 표준 AWS CloudHSM 요금이 부과됩니다. 따라서 사용자 지정 키 스토어를 사용하는 데 따른 추가 비용은 없습니다.

Q: 사용자 지정 키 스토어를 구성하려면 추가 기술과 리소스가 필요합니까?
사용자 지정 키 스토어를 사용하려는 AWS KMS 사용자는 AWS CloudHSM 클러스터를 설정하고, HSM을 추가하고, HSM 사용자를 관리하고, 잠재적으로 HSM을 백업에서 복구할 줄 알아야 합니다. 하지만 모두 보안에 민감한 작업들이기 때문에 적절한 리소스와 조직적 통제 권한을 반드시 획득해야 합니다.

Q: 키를 사용자 지정 키 스토어로 가져올 수 있습니까?
안 됩니다. 자체 키 구성 요소를 AWS KMS 사용자 지정 키 스토어로 가져오는 기능은 지원되지 않습니다. 사용자 지정 키 스토어에 저장되는 키는 AWS CloudHSM 클러스터에 속하는 HSM에서만 생성할 수 있습니다.

Q: 기본 KMS 키 스토어와 사용자 지정 키 스토어 사이에서 키를 마이그레이션할 수 있습니까?
안 됩니다. 다른 유형의 AWS KMS 키 스토어 사이에서 키를 마이그레이션하는 기능은 현재 지원되지 않습니다. 모든 키는 사용할 키 스토어에서 생성해야 합니다. 단, 자체 키 구성 요소를 기본 KMS 키 스토어로 가져오는 경우는 예외입니다.

Q: 사용자 지정 키 스토어에 저장된 키를 교체할 수 있습니까?
AWS KMS 사용자 지정 키 스토어에 저장된 키 구성 요소를 자동으로 교체하는 기능은 지원되지 않습니다. 따라서 먼저 새로운 키를 생성한 다음 이후 암호화 작업에서 새로운 키를 사용할 수 있도록 애플리케이션 코드에서 사용하는 KMS 키 별칭을 다시 매핑하여 키를 수동으로 교체해야 합니다.

Q: 다른 애플리케이션에 내 AWS CloudHSM 클러스터를 사용할 수 있습니까?
예. AWS KMS는 AWS CloudHSM 클러스터에 대한 배타적 액세스를 요구하지 않습니다. 이미 클러스터가 있다면 사용자 지정 키 스토어로 사용 가능하며 다른 애플리케이션에도 계속해서 사용할 수 있습니다. 하지만 클러스터가 KMS가 아닌, 높은 워크로드를 지원하고 있다면 사용자 지정 키 스토어에 저장된 KMS 마스터 키를 사용하는 작업들의 처리량이 줄어들 수도 있습니다. 마찬가지로 사용자 지정 키 스토어에 대한 KMS 요청 비율이 높다면 다른 애플리케이션에게 영향을 미칠 수 있습니다.

Q: AWS CloudHSM에 대해 자세히 알고 싶다면 어떻게 해야 합니까?
서비스에 대한 개요를 알고 싶다면 AWS CloudHSM 웹사이트를, 그리고 서비스 구성 및 사용에 대한 자세한 내용을 알고 싶다면 AWS CloudHSM 사용자 안내서를 참조하십시오.  

결제

Q: AWS KMS의 사용료는 어떻게 부과되어 비용이 청구됩니까?
AWS KMS는 사용한 양에 대해서만 결제하며 최소 요금이 없습니다. 서비스를 시작하는 데 드는 설치 수수료나 확약금이 없습니다. 월말에 사용자의 신용 카드에서 월 사용액이 자동으로 결제됩니다.

생성하는 모든 고객 마스터 키(CMK)에 대한 요금과 매달 프리 티어를 초과하여 서비스에 전송된 API 요청에 대한 요금이 부과됩니다.

현재 요금 정보는 AWS KMS 요금 페이지를 참조하십시오.

Q: 프리 티어가 있습니까?
예. AWS 프리 티어를 사용하면 모든 리전에서 무료로 AWS KMS를 시작할 수 있습니다. AWS 서비스에서 사용자를 대신하여 생성한 AWS 관리형 마스터 키는 계정에 무료로 저장할 수 있습니다. 매월 AWS KMS에 무료로 원하는 만큼 요청할 수 있는 사용량에 대한 프리 티어가 있습니다. 프리 티어를 비롯하여 현재 요금 정보에 대한 자세한 내용은 AWS KMS 요금 페이지를 참조하시기 바랍니다.

Q: 요금에 세금이 포함되어 있습니까?
달리 명시하지 않는 한 가격에는 VAT 및 해당 판매세를 포함한 관련 조세 공과가 포함되지 않습니다. 청구지 주소가 일본으로 되어 있는 고객의 경우 AWS 서비스 사용 시 일본 소비세의 적용을 받게 됩니다. 여기에서 자세히 알아볼 수 있습니다.

보안

Q: 누가 AWS KMS에서 내 키를 사용하고 관리할 수 있습니까?
AWS KMS는 관리자가 정의한 사용 및 관리 정책을 시행합니다. 관리자 계정 또는 다른 계정의 AWS Identity and Access Management(IAM) 사용자 및 역할이 키를 사용하고 관리하도록 선택할 수 있습니다.

Q: AWS에서는 내가 AWS KMS에 생성하는 마스터 키를 어떻게 보호합니까?
AWS KMS는 AWS 직원을 비롯하여 누구도 서비스에서 평문 마스터 키를 검색하지 못하도록 설계되었습니다. 이 서비스는 FIPS 140-2에 따라 인증되었거나 인증 중인 하드웨어 보안 모듈(HSM)을 사용하여 키의 기밀성과 무결성을 보호합니다. 사용자가 AWS KMS 또는 AWS CloudHSM을 사용하여 키를 생성하거나, 혹은 키를 서비스로 가져오든 관계 없이 보호됩니다. 평문 키는 HSM을 절대로 벗어나지 않으며, 디스크에 작성되는 일도 없습니다. 또한 요청한 암호화 작업을 수행하는 데 필요할 때만 HSM 휘발성 메모리에서 사용됩니다. AWS KMS 키는 키가 생성된 AWS 리전 외부로 전송되지 않습니다. 서비스 호스트에 있는 소프트웨어 및 AWS KMS HSM 펌웨어에 대한 업데이트는 Amazon 내 독립적인 그룹 및 FIPS 140-2를 준수하는 NIST 공인 실습에서 감사하고 검토하는 다자간 액세스 제어를 통해 제어됩니다.

이러한 보안 제어에 대한 자세한 내용은 AWS KMS 암호화 세부 정보 백서에서 확인할 수 있습니다. AWS KSM HSM이 FIPS 140-2 보안 요구 사항을 어떻게 충족하는지에 대한 자세한 내용은 AWS KMS HSM에 대한 FIPS 140-2 인증보안 정책 문서를 검토하십시오. 또한, AWS KMS에서 마스터 키를 보호하기 위해 사용하는 보안 제어에 대한 자세한 내용은 AWS Artifact에서 제공하는 SOC(Service Organization Controls) 보고서 사본을 다운로드하면 됩니다.

Q: FIPS 140-2 인증 HSM에서 사용하도록 기존 AWS KMS 마스터 키를 마이그레이션하려면 어떻게 해야 합니까?
생성 날짜 또는 출처에 관계없이 AWS KMS의 모든 마스터 키는 FIPS 140-2에 따라 인증되었거나 인증 중인 HSM을 사용하여 자동으로 보호됩니다. FIPS 140-2 인증 HSM을 사용하기 위해 사용자가 수행해야 하는 작업은 없습니다.

Q: FIPS 140-2 인증 HSM을 제공하는 AWS 리전은 어디입니까?
FIPS 140-2 인증 HSM은 AWS KSM가 제공되는 모든 AWS 리전에서 사용할 수 있습니다.

Q: AWS KMS의 FIPS 140-2 인증 HSM과 FIPS 140-2 인증 엔드포인트의 차이점은 무엇입니까?
AWS KSM은 2-티어 서비스입니다. API 엔드포인트는 완전 순방향 비밀성(PFS)을 지원하는 TLS ciphersuite만 사용하여 HTTPS 연결을 통해 클라이언트 요청을 수신합니다. 이러한 API 엔드포인트에서는 암호화 작업에 대한 요청을 AWS KMS HSM으로, 혹은 KMS 사용자 지정 키 스토어 기능을 사용하는 경우에는 AWS CloudHSM 클러스터로 전달하기 전에 요청을 인증하고 권한을 부여합니다.

Q: FIPS 140-2 인증 엔드포인트를 사용하여 AWS KMS로 API 요청을 전송하려면 어떻게 해야 합니까?
고유한 리전별 FIPS 140-2 인증 HTTPS 엔드포인트에 연결하도록 애플리케이션을 구성합니다. AWS KMS FIPS 140-2 인증 HTTPS 엔드포인트는 OpenSSL FIPS Object Module에서 제공합니다. OpenSSL 모듈의 보안 정책은 https://www.openssl.org/docs/fips/SecurityPolicy-2.0.13.pdf에서 확인할 수 있습니다. FIPS 140-2 인증 API 엔드포인트는 AWS KMS가 제공되는 모든 상용 리전에서 사용할 수 있습니다.

Q: AWS KMS를 사용하면 Payment Card Industry Data Security Standard(PCI DSS 3.2.1)의 암호화 및 키 관리 요구 사항을 준수하는 데 도움이 됩니까?
예. AWS KMS는 암호화 및 키 관리 요구 사항(주로 PCI DSS 3.2.1 섹션 3.5 및 3.6에서 참조됨)을 충족하는 기능 및 보안 제어를 제공하는 것으로 검증되었습니다.

AWS 내 PCI DSS 준수 서비스에 대한 세부 정보는 PCI DSS FAQ에서 확인할 수 있습니다.

Q: 내보내서 애플리케이션에서 사용하는 데이터 키를 AWS KMS에서 어떻게 보호합니까?
AWS KMS가 데이터 키를 생성한 후 자체 애플리케이션에서 사용할 목적으로 반환하도록 요청할 수 있습니다. 데이터 키는 AWS KMS에 정의한 마스터 키를 사용하여 암호화되므로 암호화된 데이터 키를 암호화된 데이터와 함께 안전하게 저장할 수 있습니다. 암호화된 데이터 키(및 소스 데이터)는 원래 마스터 키를 사용해 암호화된 데이터 키를 복호화할 권한이 있는 사용자만 복호화할 수 있습니다.

Q: AWS KMS가 생성하는 키의 길이는 얼마나 됩니까?
AWS KMS의 마스터 키 길이는 256비트입니다. 데이터 키는 128비트 또는 256비트 길이로 생성되고 정의된 마스터 키를 사용하여 암호화할 수 있습니다. 또한, AWS KMS는 암호화에 사용하기에 적합한 것으로 관리자가 정의한 모든 길이의 임의의 데이터를 생성하는 기능을 제공합니다.

Q: AWS KMS에서 마스터 키를 내보내어 자체 애플리케이션에서 사용할 수 있습니까?
아니요. 마스터 키는 AWS KMS 내에서만 생성 및 사용되어 보안을 보장하며 정책이 일관되게 시행되도록 하고 키 사용에 대한 중앙 집중식 로그를 제공합니다.

Q: 어떤 지리적 리전에 내 키가 저장됩니까?
AWS KMS에서 생성된 키는 자신이 생성된 리전에서만 저장되고 사용됩니다. 다른 리전으로 전송할 수 없습니다. 예를 들어, 유럽 중부(프랑크푸르트) 리전에서 생성된 키는 유럽 중부(프랑크푸르트) 리전 내에서만 저장되고 사용됩니다.

Q: AWS KMS에서 내 키 구성을 누가 사용하고 변경했는지 어떻게 알 수 있습니까?
AWS CloudTrail의 로그에는 관리 요청(예: 생성, 교체, 비활성화, 정책 편집)과 암호화 요청(예: 암호화/복호화)을 포함해 모든 KMS API 요청이 표시됩니다. 이러한 로그를 보려면 계정에서 AWS CloudTrail을 활성화하십시오.

Q: AWS KMS는 AWS CloudHSM과 어떻게 다릅니까?
AWS CloudHSM은 키를 저장 및 사용하도록 Amazon Virtual Private Cloud(VPC)에서 FIPS 140-2 레벨 3 인증 단일 테넌트 HSM 클러스터를 제공합니다. AWS와는 별도로 인증 메커니즘을 통해 키가 사용되는 방식을 배타적으로 제어할 수 있습니다. Amazon EC2에서 실행되는 애플리케이션과 상호 작용하는 것과 비슷한 방식으로 AWS CloudHSM 클러스터의 키와 상호 작용합니다. AWS CloudHSM을 사용하여 DRM(디지털 권한 관리), PKI(퍼블릭 키 인프라), 문서 서명, 그리고 PKCS#11, Java JCE 또는 Microsoft CNG 인터페이스를 사용한 암호화 기능 등 다양한 사용 사례를 지원할 수 있습니다.

AWS KMS를 사용하면 단일 콘솔에서 전 세계 여러 리전의 애플리케이션 및 지원되는 AWS 서비스에서 사용하는 암호화 키를 생성하고 제어할 수 있습니다. 이 서비스는 키의 보안을 보호하기 위해 FIPS 140-2에 따라 인증되었거나 인증 중인 FIPS HSM을 사용합니다. AWS KMS의 모든 키를 중앙에서 관리하면 키를 사용할 수 있는 사용자 및 조건, 키 교체 시기, 키 관리자를 지정할 수 있습니다. AWS KMS와 AWS CloudTrail의 통합으로 키 사용에 대한 감사를 수행하여 규제 및 규정 준수 활동을 지원할 수 있습니다. KMS에 통합된 다른 AWS 서비스를 통해 서비스 API를 직접 호출하려는 경우에는 AWS SDK를 사용하여 애플리케이션에서 AWS KMS와 상호작용하고, 혹은 클라이언트 측 암호화를 수행하려는 경우에는 AWS Encryption SDK를 사용하여 애플리케이션에서 AWS KMS와 상호작용합니다.

Product-Page_Standard-Icons_01_Product-Features_SqInk
요금에 대해 자세히 알아보기

요금 예제를 보고 비용을 계산할 수 있습니다.

자세히 알아보기 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입하기 
Product-Page_Standard-Icons_03_Start-Building_SqInk
AWS 콘솔에서 구축 시작

AWS 콘솔에서 AWS Key Management Service를 사용하여 구축을 시작할 수 있습니다.

로그인