개요

AWS Key Management Service(KMS)를 사용하면 데이터 보호에 사용되는 암호 키를 중앙 집중식으로 제어할 수 있습니다. 서비스가 다른 AWS 서비스와 통합되어 이러한 서비스에 저장한 데이터를 쉽게 암호화하고 암호를 해독하는 키에 대한 액세스를 제어할 수 있습니다. AWS KMS는 AWS CloudTrail과 통합되어 누가 어떤 키를 어떤 사용자가 어느 리소스에서 언제 사용했는지에 대한 감사를 수행할 수 있습니다. AWS KMS를 통해 개발자는 직접 또는 AWS SDK를 사용하여 애플리케이션 코드에 암호화 또는 디지털 서명 기능을 쉽게 추가할 수 있습니다. AWS Encryption SDK는 애플리케이션 내에서 데이터를 로컬로 암호화/복호화해야 하는 개발자를 위한 마스터 키 공급자로서 AWS KMS를 지원합니다.

중앙 집중식 키 관리

AWS KMS는 사용자에게 사용자 키의 수명 주기와 승인에 대한 집중화된 제어 기능을 제공합니다. 사용자는 원하는 대로 새로운 키를 생성할 수 있으며, 키를 관리하는 사람을 사용하는 사람에 대해 제어할 수 있습니다. AWS KMS에서 생성된 키를 사용하는 것의 대안으로, 사용자는 자체 키 관리 인프라에서 키를 가져오거나 AWS CloudHSM 클러스터에 저장된 키를 사용할 수 있습니다. 이전에 암호화된 데이터를 다시 암호화하지 않고도 1년에 한 번 AWS KMS에서 생성된 마스터 키 자동 교체를 선택할 수 있습니다. 본 서비스에서는 이전 버전의 마스터 키를 자동으로 유지하여 이전에 암호화된 데이터를 복호화합니다. AWS Management Console을 통하거나 AWS SDK 또는 AWS 명령줄 인터페이스(CLI)를 사용하여 마스터 키를 관리하고 사용량을 감사할 수 있습니다.

* 키 가져오기 옵션은 비대칭 키에 대해서는 사용 불가합니다.

AWS 서비스 통합

AWS KMS는 대부분의 AWS 서비스와 완벽히 통합됩니다. 이러한 통합 사항은 봉투 암호화를 사용합니다. 봉투 암호화 기능에서, 사용자 데이터를 암호화하기 위해 AWS 서비스에서 사용한 데이터 암호 키는 AWS KMS에 저장된 고객 마스터 키(CMK)에 의해 보호됩니다. CMK에는 다음과 같은 두 가지 유형이 있습니다. (i) AWS 서비스에서 암호화된 리소스를 처음으로 생성할 때 자동 생성되는 AWS 관리 형 CMK. AWS 관리형 CMK 사용 내역을 추적할 수 있지만, 키 수명 주기 및 권한은 사용자 대신 관리됩니다. (ii) 사용자만 생성할 수 있는 고객 관리형 CMK. 고객 관리형 CMK를 사용하면 수명 주기와 키를 사용할 수 있는 사람과 해당 조건을 결정하는 권한을 완전히 제어할 수 있습니다.

AWS KMS와 통합되는 AWS 서비스
Alexa for Business* Amazon Elasticsearch Amazon Redshift AWS CodeBuild
Amazon AppFlow Amazon EMR Amazon Relational Database Service(RDS) AWS CodeCommit*
Amazon Athena Amazon Forecast Amazon S3 AWS CodeDeploy
Amazon Aurora Amazon Fraud Detector Amazon SageMaker AWS CodePipeline
Amazon CloudWatch Logs Amazon FSx for Windows File Server Amazon Simple Email Service(SES) AWS Database Migration Service
Amazon Comprehend Amazon GuardDuty Amazon Simple Notification Service(SNS) AWS Glue
Amazon Connect Amazon Kendra Amazon Simple Queue Service(SQS) AWS Lambda
Amazon DocumentDB Amazon Kinesis Data Streams Amazon Timestream AWS Secrets Manager
Amazon DynamoDB Accelerator(DAX)* Amazon Kinesis Firehose Amazon Transcribe AWS Snowball
Amazon DynamoDB Amazon Kinesis Video Streams Amazon Translate AWS Snowball Edge
Amazon EBS Amazon Lex Amazon WorkMail AWS Snowcone
Amazon EC2 Image Builder Amazon Lightsail* Amazon WorkSpaces AWS Snowmobile
Amazon EFS Amazon Macie AWS Backup AWS Storage Gateway
Amazon Elastic Container Registry(ECR) Amazon Managed Streaming for Kafka(MSK) AWS Certificate Manager* AWS Systems Manager
Amazon Elastic Kubernetes Service(EKS) Amazon MQ AWS Cloud9* AWS X-Ray
Amazon Elastic Transcoder Amazon Neptune AWS CloudTrail  
Amazon ElastiCache Amazon Personalize AWS CodeArtifact  

*AWS 관리형 AWS KMS 키만 지원합니다.

** Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전에서 AWS KMS와 통합되는 서비스 목록은 중국에서의 AWS KMS 서비스 통합 페이지를 참조하십시오.

위에 나열되지 않은 AWS 서비스는 개별 서비스에서 보유하고 관리하는 키를 사용하여 고객 데이터를 암호화합니다.

감사 기능

AWS 계정에 AWS CloudTrail을 활성화하면 AWS KMS에 대한 각 요청이 로그 파일에 기록되고, AWS CloudTrail을 활성화할 때 지정한 Amazon S3 버킷으로 로그 파일이 전달됩니다. 기록되는 정보에는 사용자와 시간, 날짜, API 작업 및 사용된 키(관련이 있는 경우)에 대한 세부 정보가 포함됩니다.

확장성, 내구성 및 고가용성

AWS KMS는 완전 관리형 서비스입니다. 암호화 사용이 증가하면 서비스는 사용자의 요구에 맞게 자동으로 확장됩니다. 계정에 있는 수천 개의 CMK를 관리하고 언제든지 사용할 수 있습니다. 이는 키 수와 요청 빈도에 대한 기본 한도를 정의하지만 필요한 경우 상향 조절된 한도를 요청할 수 있습니다.

사용자가 생성한 CMK 또는 자동으로 다른 AWS 서비스에서 생성한 마스터 키는 서비스에서 내보낼 수 없습니다. 따라서 AWS KMS가 마스터 키의 내구성을 책임지게 됩니다. 키와 데이터의 고가용성을 확보할 수 있도록, 내구성 99.999999999%에 맞게 설계된 시스템에 키의 암호화된 버전의 여러 사본을 저장합니다.

서비스로 키를 가져오는 경우 CMK의 보안 사본을 유지하므로 필요할 때 사용할 수 없는 경우 다시 가져올 수 있습니다. 사용자 지정 키 스토어 기능을 사용하여 AWS CloudHSM 클러스터에서 CMK를 생성한 경우 암호화된 키 사본이 자동으로 백업되고 복구 프로세스를 완전히 제어할 수 있습니다.

AWS KMS는 리전 API 엔드포인트에서 가용성이 높은 서비스를 제공하도록 설계되었습니다. 대부분의 AWS 서비스가 암호화 및 암호 해독 작업에 이를 사용하기 때문에 나머지 AWS를 지원하는 가용성 수준을 제공하도록 설계되었으며 AWS KMS 서비스 수준 계약을 따릅니다.

보안

AWS KMS는 AWS 직원을 비롯하여 누구도 서비스에서 평문 키를 검색하지 못하도록 설계되었습니다. 서비스는 FIPS 140-2에 따라 검증되었거나 검증 과정에 있는 하드웨어 보안 모듈(HSM)을 사용하여 키의 기밀성과 무결성을 보호합니다. 이는 사용자를 대신하여 키를 생성하거나, AWS CloudHSM 클러스터에서 키를 생성하거나, 서비스로 가져오도록 AWS KMS에 요청하는지에 관계없이 적용됩니다. 평문 키가 디스크에 작성되는 일은 없으며, 요청한 암호화 작업을 수행하는 데 필요할 때만 HSM 휘발성 메모리에서 사용됩니다. 서비스 AWS KMS에서 생성한 키는 해당 키가 생성된 AWS 리전 밖으로 전송되지 않으며 해당 키가 생성된 리전에서만 사용할 수 있습니다. AWS KMS HSM 펌웨어 업데이트는 Amazon 내 독립적인 그룹 및 FIPS 140-2를 준수하는 NIST 공인 연구실에서 감사하고 검토하는 다자간 액세스 제어를 통해 제어됩니다.

AWS KMS가 설계된 방식과 키 보호를 위해 AWS KMS에서 사용하는 암호화에 대한 자세한 내용은 AWS Key Management Service 암호화 세부 정보 백서를 참조하십시오.

* Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전에서, HSM은 중국 정부의 승인(FIPS 140-2 검증 아님)을 받았으며, 위에 언급한 암호화 세부 정보 백서는 적용되지 않습니다. 

사용자 지정 키 스토어

AWS KMS는 사용자가 제어하는 HSM을 사용하여 자체 키 스토어를 생성하는 옵션을 제공합니다. 각 사용자 지정 키 스토어AWS CloudHSM 클러스터에 의해 백업됩니다. 사용자 지정 키 스토어에서 CMK를 생성하면 서비스에서는 사용자가 보유하고 관리하는 AWS CloudHSM 클러스터에 CMK용 키 구성 요소를 생성하여 저장합니다. 사용자 지정 키 스토어에서 CMK를 사용할 때 해당 키에 있는 암호화 작업이 AWS CloudHSM 클러스터에서 수행됩니다.

사용자 지정 키 스토어에 저장된 CMK는 다른 CMK와 마찬가지로 사용자가 관리하며 AWS KMS와 통합되는 모든 AWS 서비스와 함께 사용할 수 있습니다.

사용자 지정 키 스토어를 사용하면 AWS CloudHSM 클러스터에 대한 비용이 추가되며 해당 클러스터에 있는 키 구성 요소의 가용성에 대한 책임은 고객에게 있습니다. 사용자 지정 키 스토어가 사용자 요구 사항에 적합한지 여부는 이 블로그를 읽고 확인해 보십시오.

*사용자 지정 키 스토어 기능은 Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전에서는 사용할 수 없습니다.

** 사용자 지정 키 스토어 옵션은 비대칭 CMK에 대해서는 사용 불가합니다.

비대칭 키

AWS KMS는 비대칭 CMK 및 데이터 키 페어를 생성 및 사용할 수 있는 기능을 제공합니다. 사용자는 CMK를 키 페어 서명 또는 암호화 키 페어용으로 사용 지정할 수 있습니다. 해당 CMK를 사용한 키 페어 생성 및 비대칭 암호 작업은 HSM 내부에서 수행됩니다. 로컬 애플리케이션에서 사용하기 위해 비대칭 CMK의 공개 부분을 요청할 수는 있지만 개인 부분은 서비스에서 벗어나지 않습니다.

또한, 비대칭 데이터 키 페어를 생성하기 위한 서비스를 요청할 수 있습니다. 해당 작업에서는 공개 키 및 개인 키의 일반 텍스트 복사본, 그리고 사용자가 지정한 대칭 CMK로 암호화된 개인 키의 복사본을 반환합니다. 사용자의 현지 애플리케이션에서 일반 텍스트 공개 또는 개인 키를 사용하거나 추후 사용을 위해 개인 키의 암호화된 사본을 저장할 수 있습니다.

* 비대칭 키는 이제 Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전에서 사용 불가합니다.

** 비대칭 키는 사용자 지정 키 스토어 옵션에서 지원되지 않습니다.

규정 준수

AWS KMS의 보안 및 품질 제어는 다음 규정 준수 체제에서 검증 및 인증을 받았습니다.

  • AWS 서비스 조직 규제(SOC 1, SOC 2 및 SOC 3) 보고서 AWS Artifact 페이지에서 이러한 보고서를 다운로드할 수 있습니다.
  • PCI DSS 레벨 1. AWS 내 PCI DSS 준수 서비스에 대한 세부 정보는 PCI DSS FAQ에서 확인할 수 있습니다.
  • FIPS 140-2 AWS KMS 암호화 모듈은 전체적으로 FIPS 2 레벨 3 인증을, 물리적 보안을 비롯한 몇 가지 카테고리에 대해서는 레벨 3 인증을 받았거나 받는 과정에 있습니다. 자세한 내용은 AWS KMS HSM에 대한 FIPS 140-2 인증서와 관련 보안 정책에서 확인할 수 있습니다.
  • FedRAMP. AWS FedRAMP 규정 준수에 대한 세부 정보는 FedRAMP 규정 준수 페이지를 참조하십시오.
  • HIPAA. 자세한 내용은 HIPAA 규정 준수 페이지를 참조하십시오.
 
다음은 AWS KMS 인증 및 증명 시 따른 기타 준수 체제 목록입니다.
 
* FIPS 140-2는 중국 리전의 AWS KMS에는 적용되지 않습니다. 대신, 중국 리전의 하드웨어 보안 모듈은 중국 정부에서 사용을 승인했습니다.
Product-Page_Standard-Icons_01_Product-Features_SqInk
제품 요금에 대해 자세히 알아보기

요금 예제를 보고 비용을 계산할 수 있습니다.

자세히 알아보기 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입하기 
Product-Page_Standard-Icons_03_Start-Building_SqInk
AWS 콘솔에서 구축 시작

AWS 콘솔에서 AWS Key Management Service를 사용하여 구축을 시작할 수 있습니다.

로그인