개요

AWS Key Management Service(KMS)를 사용하면 데이터 보호에 사용되는 암호화 키를 중앙 집중식으로 제어할 수 있습니다. 이 서비스를 다른 AWS 서비스와 통합하면 서비스에 저장된 데이터를 손쉽게 암호화하고 복호화 키에 대한 액세스를 제어할 수 있습니다. 또한 AWS KMS를 AWS CloudTrail과 통합하면 누가 어느 리소스에서 언제 키를 사용했는지에 대한 감사를 수행하는 데 도움이 됩니다. AWS KMS는 직접 또는 AWS SDK를 사용하여 애플리케이션 코드에 암호화 또는 디지털 서명 기능을 더 쉽게 추가하는 데 도움이 됩니다. AWS Encryption SDK는 애플리케이션 내에서 데이터를 로컬로 암호화 및 복호화해야 하는 개발자를 위해 키 공급자로 AWS KMS를 지원합니다.

AWS KMS를 사용하면 키의 수명 주기와 권한을 중앙 집중식으로 제어할 수 있습니다. 원할 때 언제든지 새로운 키를 생성할 수 있고 키를 관리하는 사람과 사용하는 사람을 개별적으로 제어할 수 있습니다. AWS KMS에서 생성된 키를 사용하는 대신 자체 키 관리 인프라에서 키를 가져오거나 AWS CloudHSM 클러스터에 저장된 키 또는 AWS 밖의 외부 키 관리자에 보관된 키를 사용할 수도 있습니다. 이전에 암호화된 데이터를 다시 암호화할 필요 없이 1년에 한 번 AWS KMS에서 생성된 루트 키를 자동으로 교체하도록 선택할 수 있습니다. 이 서비스는 이전에 암호화된 데이터를 복호화하는 데 사용할 수 있는 이전 버전의 루트 키를 자동으로 유지합니다. AWS Management Console에서 또는 AWS SDK 또는 AWS Command Line Interface(CLI)를 사용하여 루트 키를 관리하고 사용에 대한 감사를 시행할 수 있습니다.

* 비대칭 키에는 키 가져오기 옵션을 사용할 수 없습니다.

AWS 서비스 통합

AWS KMS는 AWS 서비스와 통합되므로 AWS KMS 키를 사용하여 저장 데이터를 암호화하거나 서명 및 확인 프로세스를 간소화할 수 있습니다. 통합된 AWS 서비스는 봉투 암호화를 사용하여 저장 데이터를 보호합니다. 봉투 암호화에서 데이터는 데이터 키를 사용하여 암호화되고 데이터 키는 AWS KMS에 저장된 KMS 키 아래에 자체 암호화됩니다. 서명 및 확인에 있어서 통합된 AWS 서비스는 AWS KMS의 비대칭 RSA 또는 ECC KMS 키를 사용합니다. 통합된 서비스에서 AWS KMS를 사용하는 방법에 대한 자세한 내용은 사용하는 AWS 서비스의 설명서를 참조하세요.

AWS KMS와 통합되는 AWS 서비스
Alexa for Business[1] Amazon Forecast Amazon Nimble Studio AWS CloudHSM[2]
Amazon AppFlow Amazon Fraud Detector Amazon Personalize AWS CloudTrail
Amazon Athena Amazon FSx Amazon QLDB AWS CodeArtifact
Amazon Aurora Amazon GuardDuty Amazon Redshift AWS CodeBuild
Amazon CloudWatch Logs Amazon HealthLake Amazon Rekognition AWS CodeCommit[1]
Amazon CloudWatch Synthetics Amazon Inspector Amazon Relational Database Service(RDS) AWS CodePipeline
Amazon CodeGuru Amazon Kendra Amazon Route 53 AWS Control Tower
Amazon Comprehend Amazon Keyspaces for Apache Cassandra Amazon S3 AWS Database Migration Service
Amazon Connect Amazon Kinesis Data Streams Amazon SageMaker AWS Elastic Disaster Recovery
Amazon Connect Customer Profiles Amazon Kinesis Firehose Amazon Simple Email Service(SES) AWS Elemental MediaTailor
Amazon Connect Voice ID Amazon Kinesis Video Streams Amazon Simple Notification Service(SNS) AWS Glue
Amazon Connect Wisdom Amazon Lex Amazon Simple Queue Service(SQS) AWS Glue DataBrew
Amazon DocumentDB Amazon Lightsail[1] Amazon Textract AWS IoT SiteWise
Amazon DynamoDB Amazon Location Service Amazon Timestream AWS Lambda
Amazon DynamoDB Accelerator(DAX)[1] Amazon Lookout for Equipment Amazon Transcribe AWS License Manager
Amazon EBS Amazon Lookout for Metrics Amazon Translate AWS Network Firewall
Amazon EC2 Image Builder Amazon Lookout for Vision Amazon WorkMail AWS Proton
Amazon EFS Amazon Macie Amazon WorkSpaces AWS Secrets Manager
Amazon Elastic Container Registry(ECR) Amazon Managed Blockchain Amazon WorkSpaces Web AWS Snowball
Amazon Elastic Kubernetes Service(EKS) Amazon Managed Service for Prometheus AWS Audit Manager AWS Snowball Edge
Amazon Elastic Transcoder Amazon Managed Streaming for Kafka(MSK) AWS Application Cost Profiler AWS Snowcone
Amazon ElastiCache Amazon Managed Workflows for Apache Airflow(MWAA) AWS Application Migration Service AWS Snowmobile
Amazon OpenSearch Amazon MemoryDB AWS App Runner AWS Storage Gateway
Amazon EMR Amazon Monitron AWS Backup AWS Systems Manager
Amazon EMR Serverless Amazon MQ AWS Certificate Manager[1] AWS X-Ray
Amazon FinSpace Amazon Neptune AWS Cloud9[1]  

[1] AWS 관리형 키만 지원합니다.

[2] AWS KMS는 AWS CloudHSM 클러스터에 의해 백업된 사용자 지정 키 스토어를 지원합니다.

[3] Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전에서 AWS KMS와 통합되는 서비스 목록은 중국의 AWS KMS 서비스 통합 페이지를 참조하세요.

위에 나열되지 않은 AWS 서비스는 개별 서비스에서 보유하고 관리하는 키를 사용하여 고객 데이터를 암호화합니다.

감사 모니터링

AWS 계정에 AWS CloudTrail을 사용하도록 설정한 경우 AWS KMS에 대한 각 요청이 로그 파일에 기록됩니다. 이 로그 파일은 AWS CloudTrail을 사용하도록 설정할 때 지정한 Amazon Simple Storage Service(S3) 버킷으로 전달됩니다. 사용자, 시간, 날짜, API 작업 및 사용된 키(관련이 있는 경우)에 대한 세부 정보 등의 정보가 기록됩니다.

확장성, 내구성 및 고가용성

AWS KMS는 완전관리형 서비스입니다. 암호화 사용이 증가하면 사용자의 필요에 맞게 자동으로 서비스가 확장됩니다. 계정에 있는 수만 개의 KMS 키를 관리하고 언제든지 사용하는 데 도움이 됩니다. 키 개수와 요청 빈도에 대한 기본 한도는 서비스에 의해 정의되지만 필요한 경우 상향 조절된 한도를 요청할 수 있습니다.

사용자가 생성한 KMS 키 또는 자동으로 다른 AWS 서비스에서 생성된 키를 서비스에서 내보낼 수는 없습니다. 따라서 AWS KMS가 키의 내구성을 책임지게 됩니다. 키와 데이터의 고가용성을 확보할 수 있도록, AWS KMS는 내구성 99.999999999%에 맞게 설계된 시스템에 키의 암호화된 버전의 여러 사본을 저장합니다.

리전 간에 이동하는 암호화된 데이터 또는 디지털 서명 워크플로(재해 복구, 다중 리전 고가용성 아키텍처, DynamoDB 글로벌 테이블 및 전 세계적으로 분산된 일관된 디지털 서명)의 경우 KMS 다중 리전 키를 생성할 수 있습니다. KMS 다중 리전 키는 여러 리전에 복제할 수 있는 동일한 키 구성 요소 및 키 ID와 상호 운용 가능한 키 세트입니다.

AWS KMS는 리전 API 엔드포인트에서 가용성이 높은 서비스를 제공하도록 설계되었습니다. AWS KMS는 대부분의 AWS 서비스에서 암호화 및 복호화에 사용되기 때문에 높은 수준의 가용성을 제공하도록 설계되었습니다. 이 가용성은 나머지 AWS를 지원하며 AWS KMS 서비스 수준 계약으로 보장됩니다.

보안

AWS KMS는 AWS 직원을 비롯하여 누구도 서비스에서 평문 키를 검색하지 못하도록 설계되었습니다. 서비스는 FIPS 140-2에 따라 검증되었거나 검증 과정에 있는 하드웨어 보안 모듈(HSM)을 사용하여 키의 기밀성과 무결성을 보호합니다. 평문 키가 디스크에 작성되는 일은 없으며, 요청한 암호화 작업을 수행하는 데 필요할 때만 HSM 휘발성 메모리에서 사용됩니다. 이는 사용자를 대신하여 키를 생성하거나, 서비스로 키를 가져오거나, 사용자 지정 키 스토어 기능을 사용하여 AWS CloudHSM 클러스터에서 키를 생성하도록 AWS KMS에 요청하는지에 관계없이 적용됩니다. AWS KMS 서비스를 통해 생성된 키는 키가 생성된 AWS 리전 외부로 전송되지 않습니다. 키가 생성된 리전에서만 사용될 수 있습니다. AWS KMS HSM 펌웨어 업데이트는 Amazon 내 독립적인 그룹 및 FIPS 140-2를 준수하는 NIST 공인 연구실에서 감사하고 검토하는 다자간 액세스 제어를 통해 제어됩니다.

AWS KMS가 설계된 방식과 키 보호를 위해 AWS KMS에서 사용하는 암호화에 대한 자세한 내용은 AWS KMS 암호화 세부 정보를 참조하세요.

* Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전에서, HSM은 중국 정부의 승인(FIPS 140-2 검증 아님)을 받았으며, 위에 언급한 암호화 세부 정보 백서는 적용되지 않습니다. 

비대칭 키

AWS KMS는 비대칭 KMS 키 및 데이터 키 페어를 생성하고 사용하는 데 도움이 됩니다. 사용자는 KMS 키를 키 페어 서명 또는 암호화 키 페어용으로 사용하도록 지정할 수 있습니다. 해당 KMS 키를 사용한 키 페어 생성 및 비대칭 암호 작업은 HSM 내부에서 수행됩니다. 로컬 애플리케이션에서 사용하기 위해 비대칭 KMS 키의 퍼블릭 부분을 요청할 수는 있지만 프라이빗 부분은 서비스에서 벗어나지 않습니다.

또한 비대칭 데이터 키 페어를 생성하기 위한 서비스를 요청할 수 있습니다. 해당 작업에서는 퍼블릭 키, 프라이빗 키의 일반 텍스트 사본 및 사용자가 지정한 대칭 KMS 키로 암호화된 프라이빗 키의 사본을 반환합니다. 사용자의 현지 애플리케이션에서 일반 텍스트 퍼블릭 또는 프라이빗 키를 사용하거나 추후 사용을 위해 프라이빗 키의 암호화된 사본을 저장할 수 있습니다.

* 비대칭 키는 사용자 지정 키 스토어 또는 외부 키 스토어 옵션에서 지원되지 않습니다.

HMAC

AWS KMS의 FIPS 140-2 검증 하드웨어 보안 모듈(HSM) 안에서 해시 기반 메시지 인증 코드(HMAC)를 생성하고 확인할 수 있습니다. HMAC는 암호화 구축 블록으로, 보안 정보 키 구성 요소와 해시 함수를 통합하여 고유한 키가 지정된 메시지 인증 코드를 생성할 수 있습니다. HMAC KMS 키는 키 구성 요소가 완전히 AWS KMS 안에서 생성 및 사용되기 때문에 애플리케이션 소프트웨어의 HMAC보다 낫습니다. 또한 사용자가 키에 설정한 액세스 제어가 적용됩니다. AWS KMS에 사용되는 HMAC KMS 키 및 HMAC 알고리즘은 RFC 2104에 정의된 산업 표준을 준수합니다. HMAC KMS 키는 FIPS 140-2 Cryptographic Module Validation Program에 따라 인증되는 AWS KMS 하드웨어 보안 모듈에서 생성(중국[베이징] 및 중국[닝샤] 리전 제외)되고 암호화되지 않은 상태로는 AWS KMS 외부로 나가지 않습니다.

*AWS KMS HMAC 키는 사용자 지정 키 스토어에서 지원되지 않습니다.

규정 준수

AWS KMS의 보안 및 품질 제어는 다음 규정 준수 체제에서 검증 및 인증을 받았습니다.

  • AWS 서비스 조직 규제(SOC 1, SOC 2 및 SOC 3) 보고서. AWS Artifact에서 보고서의 복사본을 다운로드할 수 있습니다.
  • PCI DSS 레벨 1. AWS의 PCI DSS FAQ에서 PCI DSS 준수 서비스에 대해 자세히 알아보세요.
  • FIPS 140-2 AWS KMS 암호화 모듈은 전체적으로 FIPS 140-2 레벨 2 인증을, 물리적 보안을 비롯한 몇 가지 카테고리에 대해서는 레벨 3 인증을 받았거나 받는 과정에 있습니다. AWS KMS HSM에 대한 FIPS 140-2 인증서와 관련 보안 정책을 확인하여 자세히 알아보세요.
  • FedRAMP. FedRAMP 규정 준수에서 AWS FedRAMP 규정 준수에 대해 자세히 알아보세요.
  • HIPAA. HIPAA 규정 준수 페이지에서 자세히 알아보세요.
 
AWS KMS는 여기에 나열된 기타 규정 준수 체제에 대해 검증되고 인증되었습니다.
 
* FIPS 140-2는 중국 리전의 AWS KMS에는 적용되지 않습니다. 대신, 중국 리전의 하드웨어 보안 모듈은 중국 정부에서 사용을 승인했습니다.

사용자 지정 키 스토어

사용자 지정 키 스토어는 AWS KMS 내의 논리적 키 스토어로, AWS KMS 외부에서 사용자가 소유하고 관리하는 HSM로 지원됩니다. 사용자 지정 키 스토어는 AWS KMS의 편리하고 포괄적인 키 관리 인터페이스를 사용하면서 키 구성 요소 및 암호화 작업이 발생하는 디바이스를 소유하고 제어할 수 있다는 이점을 제공합니다. 따라서 암호화 키의 가용성 및 내구성과 HSM의 운영에 대한 책임을 사용자가 더 많이 지게 됩니다. AWS KMS는 2가지 유형의 사용자 지정 키 스토어를 제공합니다.

CloudHSM 통합

AWS CloudHSM 사용자 지정 키 스토어에서 KMS 키를 생성할 수 있습니다. 모든 키는 사용자가 소유하고 관리하는 AWS CloudHSM 클러스터에 생성되고 저장됩니다. 사용자 지정 키 스토어의 KMS 키를 사용하는 경우 해당 키를 사용한 암호화 작업은 AWS CloudHSM 클러스터에서만 수행됩니다.

CloudHSM 사용자 지정 키 스토어에 저장된 KMS 키는 다른 KMS 키와 마찬가지로 사용자가 관리하며 AWS KMS와 통합되는 모든 AWS 서비스와 함께 사용할 수 있습니다.

사용자 지정 키 스토어를 사용하면 AWS CloudHSM 클러스터에 대한 비용이 추가되며 해당 클러스터에 있는 키 구성 요소의 가용성에 대한 책임은 고객에게 있습니다. 사용자 지정 키 스토어가 사용자 요구 사항에 적합한지 여부에 대한 지침은 이 블로그를 읽어보세요.

*사용자 지정 키 스토어 기능은 Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전에서는 사용할 수 없습니다.

**비대칭 KMS 키에는 사용자 지정 키 스토어 옵션을 사용할 수 없습니다.

외부 키 스토어

AWS KMS 외부 키 스토어(XKS)에 KMS 키를 생성할 수 있습니다. 이 경우 모든 키는 AWS 외부에서 사용자가 소유하고 관리하는 외부 키 관리자에 생성되고 저장됩니다. 이 기능을 사용하면 AWS와 별개인 권한 부여 및 감사 메커니즘을 사용하여 유연하게 데이터를 암호화하거나 복호화할 수 있습니다.

XKS 사용자 지정 키 스토어에 저장된 KMS 키는 다른 KMS 키와 마찬가지로 사용자가 관리하며 AWS KMS와 통합되는 모든 AWS 서비스와 함께 사용할 수 있습니다.

외부 키 스토어를 사용하는 경우 표준 KMS 키 또는 CloudHSM 사용자 지정 키 스토어의 키와 달리 사용자가 외부 키의 키 구성 요소 및 암호화 작업에 대한 내구성, 가용성, 지연 시간, 성능 및 보안을 책임집니다. KMS 작업의 성능 및 가용성은 사용하는 XKS 인프라의 하드웨어, 소프트웨어 또는 네트워킹 구성 요소의 영향을 받을 수 있습니다.

제품 요금에 대해 자세히 알아보기

요금 예제를 보고 비용을 계산할 수 있습니다.

자세히 알아보기 
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입 
콘솔에서 구축 시작

AWS 콘솔에서 AWS Key Management Service를 사용하여 구축을 시작할 수 있습니다.

로그인