AWS kms사용기#1

KMS를 사용하기전 개념을 정리해보자.

KMS 서비스

  • AWS KMS는 데이터를 쉽게 암호화 할수 있게 하는 SasS형 암호화 서비스 입니다.

KMS 서비스를 사용하는 이유

  • 고객이 직접 키 관리 서버를 운영해야하는 경우
  • 보안은 해야하나 관련된 지식이 없어 어려움이 있는 경우
  • 비싼 키 관리 시스템에 지쳐 저렴하고 안정적인 서비스를 받기 원하는 경우

KMS에서 사용 가능한 기능

  • 고유 별칭 및 설명과 함께 키 생성
  • 자체 키 가져오기
  • 키를 관리할 수 있는 IAM 사용자 및 역할 정의
  • 키를 사용하여 데이터를 암호화하고 복호화할 수 있는 IAM 사용자 및 역할 정의
  • AWS KMS가 매년 키를 자동으로 교체하도록 선택
  • 아무도 사용할 수 없도록 일시적으로 키 비활성화
  • 비활성화된 키 다시 활성화
  • 더 이상 사용하지 않는 키 삭제
  • AWS CloudTrail의 로그를 검사하여 키 사용 감사

KMS 용어

1.Customer Master Keys

  • 고객 마스터 키로써 최대 4KiB의 데이터를 암호화 시킬 수 있는 마스터 키이다.

2.Data Keys

  • 4KiB 이상의 큰 데이터에 대해서 암호화 시킬 수 있는 암호화 키이다.
  • 실제 데이터 암호화 시 사용

3.Envelope Encryption

  • AWS 자체적으로는 Data Key에 대해서 CMK를 가지고 암호화 시켜 저장시키게 구성되어 있습니다.
  • Key를 통해 Key를 암호화 시키는 KEK(Key encryption Key) 기술이 접목되어 있습니다.
  • 이를 통해 Data Key에 대한 보호가 가능하며, 데이터를 재 암호화 시키는 방법이 아닌 데이터 키를 재 암호화 시키는 방법을 지향할 수 있게 되었습니다.

envelope-encryption

Written on August 4, 2017