[AWS SCS] AWS KMS

AWS KMS(Key Management Service)

AWS KMS는 AWS에서 제공하는 키 관리 서비스로, 데이터를 안전하게 암호화하고, 암호화 키를 손쉽게 관리할 수 있는 방법을 제공합니다. 이 글에서는 KMS의 주요 기능과 사용 사례를 살펴보겠습니다.

---

1. KMS의 개요

주요 특징

• IAM과 통합: IAM(Identity and Access Management)을 통해 KMS 권한을 제어합니다.
• AWS 서비스와 연동: EBS, S3, Redshift, RDS, SSM 등 AWS의 대부분 서비스와 통합됩니다.
• CLI/SDK 지원: CLI와 SDK를 사용해 KMS와 상호작용할 수 있습니다.

---

2. KMS 키 유형

대칭 키 (Symmetric Key)

• 특징: 하나의 암호화 키로 데이터를 암호화하고 복호화합니다.
• 활용 사례: AWS 서비스(EBS, S3 등)와의 통합 및 Envelope Encryption(봉투 암호화) 지원.
• 제약 조건: KMS 키 자체는 외부에 노출되지 않으며, KMS API를 통해서만 사용할 수 있습니다.

비대칭 키 (Asymmetric Key)

• 특징: 공개 키와 개인 키로 구성된 키 쌍.
  • 공개 키로 데이터를 암호화하고, 개인 키로 복호화합니다.
• 활용 사례: AWS 외부 환경에서 암호화/복호화 및 서명/검증 작업.
• 장점: 공개 키를 신뢰할 수 없는 환경에서 자유롭게 배포 가능.

---

3. KMS 키 유형별 특징

고객 관리 키	사용자가 생성하고 관리하는 키. CloudTrail 감사 및 키 정책 설정 가능.	사용자	기본 1년, 사용자 지정 가능
AWS 관리 키	AWS가 생성 및 관리하며, AWS 서비스에서 자동으로 사용. 사용자 관리 불가.	AWS	매년 자동 회전
AWS 소유 키	AWS 내부에서 관리하며, 사용자는 키를 볼 수도, 관리할 수도 없음.	AWS	관리 불가

키 유형특징관리 주체회전 주기

---

4. KMS 키 생성 방법

1) KMS 자동 생성

• KMS가 키 재료를 생성하고 관리.

2) 외부 키 재료 가져오기

• 사용자가 외부에서 생성한 키 재료를 KMS로 가져와 관리.
• 책임: 키 재료의 보안, 가용성, 내구성은 사용자가 직접 관리해야 함.

3) 사용자 지정 키 저장소 (Custom Key Store)

• AWS CloudHSM 클러스터와 통합하여 키 재료를 생성하고 관리.
• 장점: HSM 환경에서 높은 보안 요구사항 충족.

---

5. Multi-Region Key(다중 지역 키)

• 특징: 특정 지역에서 생성된 키를 다른 지역으로 복제하여 동일한 키 ID와 키 재료를 공유.
• 장점:
  • 지역 간 데이터 암호화 및 복호화 가능.
  • 재해 복구, 글로벌 데이터 관리, 다중 지역 활성-활성 애플리케이션에 적합.