AWS_FAQ

AWS KMS 이용 가이드

2016.08.29 17:25

호스트웨이 조회 수:8436

AWS Key Management Service(KMS)를 이용하여 암호화 키를 생성/제어하여 키를 안전하게 보호하는 관리형 암호화 서비스입니다.

AWS CloudTrail과 통합되어 모든 키 사용에 관한 로그를 제공함으로 규정 준수 요구 사항을 충족할 수 있도록 지원합니다.



KMS의 이점


1. 중앙 집중식 키 관리 : 암호화 키를 중앙 집중식으로 제어 할 수 있습니다.  AWS console, AWS SDK, CLI 를 사용하여 키를 생성, 교체, 삭제 등, 사용 정책을 정의하고 

감사 할 수 있습니다.


2. AWS 서비스 통합 : AWS 다른 서비스와 통합됩니다. KM 마스커 키를 사용하여 서비스에 저장된 데이터를 암호화 할 수 있습니다.


AWS 제품 카테고리KMS에 통합된 AWS 서비스

스토리지 및 콘텐츠 전송

Amazon S3, Amazon EBS, AWS Import/Export Snowball
데이터베이스Amazon RDS, Amazon Redshift, AWS Database Migration Service
개발자 도구AWS CodeCommit*
관리 도구AWS CloudTrail
분석Amazon EMR**, Amazon Kinesis Firehose
애플리케이션 서비스Amazon Elastic Transcoder, Amazon SES
엔터프라이즈 애플리케이션Amazon WorkSpaces, Amazon WorkMail

*AWS CodeCommit은 현재 AWS 관리형 KMS 키만 지원합니다.
**워크로드에 대한 입출력을 S3에 저장할 때 Amazon EMR이 KMS 키를 사용해 클라이언트 측 암호화를 지원합니다.
서버 측 암호화 옵션은 Amazon S3 시스템 마스터 키를 사용하며 현재 KMS 키의 사용을 지원하지 않습니다.


4. 모든 어플리케이션 암호화


5. 감사 기능 : CloudTrail 활성화하여 KMS 에 저장된 키를 사용 할 때마다 로그 파일을 기록합니다.(사용자,시간,날짜,사용된 키정보가 저장됨)


6. 저렴한 비용 : 계정의 기본 키 스토리지에 대한 요금이 없습니다, 추가로 생성한 마스터 키와 키사용에 대해서만 지불하면 됩니다.


7. 보안 : 마스터 키는 아무도 엑세스하지 못하도록 설계되었습니다, 


8. 규정 준수

AWS KMS의 보안 및 품질 제어는 다음 규정 준수 체계에서 검증 및 인증을 받았습니다.

AWS 서비스 조직 규제(SOC 1, SOC 2 및 SOC 3) 보고서. AWS 규정 준수 페이지에서 이러한 보고서의 복사본을 요청할 수 있습니다.

PCI DSS 레벨 1. AWS 내 PCI DSS 준수 서비스에 대한 세부 정보는 PCI DSS FAQ에서 확인할 수 있습니다.

ISO 27017. AWS 내 ISO 27017 준수 서비스에 대한 세부 정보는 ISO 27017 FAQ에서 확인할 수 있습니다.

ISO 27018. AWS 내 ISO 27018 준수 서비스에 대한 세부 정보는 ISO 27018 FAQ에서 확인할 수 있습니다.

ISO 9001. AWS 내 ISO 9001 준수 서비스에 대한 세부 정보는 ISO 9001 FAQ에서 확인할 수 있습니다.


KMS 특징


2-Tiered key 계층으로 봉투 암화화 사용

Unique 데이터 키로 사용자 데이터 암호화

KMS master keys encrypt data keys.

2.png


작동 원리

데이터를 암호화 하고 KMS를 이용하여 해당 데이터 키를 암호화하여 보안을 강화한다.

복호화 과정은 KMS 마스터 키로 암호화된 데이터 키를 복호화하고 해당 키로 데이터를 복화화한다.

1.png



참고


https://aws.amazon.com/ko/kms/details/#key_management

https://d0.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf