AWS KMS란?

안녕하세요, BTC 베짱이 팀입니다.

 

이번 주는 'AWS KMS' 주제로 포스팅하겠습니다!

 

---

KMS (Key Management Service) 개념

• AWS Key Management Service(AWS KMS)를 사용하면 손쉽게 암호화 키를 생성 및 관리하고 다양한 AWS 서비스와 애플리케이션에서의 사용을 제어할 수 있습니다.

 

• AWS KMS는 FIPS 140-2에 따라 검증되었거나 검증 과정에 있는 하드웨어 보안 모듈을 사용하여 키를 보호하는 안전하고 복원력이 있는 서비스입니다.

 

• AWS KMS는 AWS CloudTrail과도 통합되어 모든 키 사용에 관한 로그를 제공함으로써 각종 규제 및 규정 준수 요구 사항을 충족할 수 있게 지원합니다.

 

---

KMS 특징

• 완전관리형 : 사용자가 키 사용 권한을 정의함으로써 암호화된 데이터의 액세스를 제어하는 반면 AWS KMS는 권한을 시행하고 키의 내구성과 물리적 보안을 처리합니다.

 

• 중앙 집중식 키 관리 : AWS KMS는 통합된 AWS 서비스 및 자체 애플리케이션에 걸쳐 일관적으로 키를 관리하고 정책을 정의하는 단일 제어 지점을 제공합니다. AWS Management Console에서 또는 AWS SDK나 CLI를 사용하여 키에 대한 권한을 손쉽게 생성하고, 가져오고, 교체하고, 삭제하며, 관리할 수 있습니다.

 

• AWS 서비스에 대한 암호화 관리 : AWS KMS는 AWS 서비스와 통합되어 AWS 워크로드 전체의 데이터 암호화를 위한 키 사용을 간소화합니다. 계정 및 서비스 간 암호화된 리소스 공유 기능을 포함한 필요한 수준의 액세스 제어를 선택합니다. KMS는 모든 키 사용을 AWS CloudTrail에 로깅하여 사용자를 대신하여 암호화된 데이터를 사용하는 AWS 서비스를 포함하여 암호화된 데이터에 누가 액세스했는지에 대해 독립적인 관점을 제공합니다.

 

• 애플리케이션의 데이터 암호화 : AWS KMS는 AWS Encryption SDK와 통합되어 KMS 보호 데이터 암호화 키를 사용하여 애플리케이션 내 로컬 암호화를 지원합니다. 단순한 API를 사용함으로써 어디에서 실행하든 자체 애플리케이션에 암호화 및 키 관리를 빌드할 수도 있습니다.

 

• 데이터 디지털 서명 : AWS KMS를 사용하면 비대칭 키 페어로 디지털 서명 작업을 수행하여 데이터의 무결성을 확보할 수 있습니다. 디지털 서명된 데이터의 수신자는 AWS 계정의 보유 여부와 관계없이 서명을 확인할 수 있습니다.

 

• 저렴한 비용 : AWS KMS 사용에 대한 약정 및 선결제 금액은 없습니다. 생성한 키를 저장하는 데 월 1 USD만 지불하면 됩니다. AWS 서비스에서 사용자를 대신하여 생성한 AWS 관리형 키는 무료로 저장할 수 있습니다. 프리 티어 이상으로 키를 사용 또는 관리하는 경우 요청당 요금이 부과됩니다.

 

• 보안 : AWS KMS는 FIPS 140-2에 따라 검증되었거나 검증 과정에 있는 하드웨어 보안 모듈을 사용하여 키를 생성하고 보호합니다. 키는 이러한 디바이스 내부에서만 사용되고 암호화되지 않은 채 방치될 수 없습니다. KMS 키는 키가 생성된 AWS 리전 외부에서 공유되지 않습니다.

 

• 규정 준수 : AWS KMS의 보안 및 품질 제어는 여러 규정 준수 체계에서 인증을 받았기에 규정 준수 의무가 간소화됩니다. AWS KMS는 사용자가 제어하는 AWS CloudHSM의 단일 테넌트 HSM 내에 키를 저장하는 옵션도 제공합니다.

 

• 내장된 감사 기능 : AWS KMS는 AWS CloudTrail과 통합되어 키 관리 작업 및 키 사용을 포함하여 모든 API 요청을 기록합니다. API 요청을 로깅함으로써 위험을 관리하고, 규정 준수 요구 사항을 충족하며, 포렌식 분석을 수행하는 데 도움이 됩니다.

 

---

다음 주에는 더욱 유익한 주제로 찾아뵙겠습니다.

 

긴 글 읽어주셔서 감사합니다 :)