Overview

서비스 개요

Key Management Service(KMS)는 애플리케이션의 중요한 데이터를 안전하게 보호하기 위해, 암호화 키를 간편하게 생성하고 안전하게 저장/관리하는 서비스 입니다. 사용자는 암호화 키를 이용하여 데이터를 암/복호화하며, 암호화 키는 계층적으로 암호화 된 중앙 집중 암호화 키 방식으로 안정적으로 관리됩니다.

제공 기능

Key Management Service는 다음과 같은 기능을 제공합니다.

• 키 관리: KMS는 키를 생성/삭제 하고 관리할 수 있습니다. 사용자는 KMS를 통해 생성된 마스터 키를 활용하여 데이터를 암호화하는 데이터 키를 직접 생성합니다.
• 키 권한 관리: 사용자 정의 정책 기반으로 마스터 키에 대한 사용 권한을 제어하고 관리할 수 있습니다.
• 키 라이프 사이클 관리: 키 회전을 통해 키를 새로 생성하지 않아도 해당 마스터 키에 대한 새로운 암호화 자료를 생성할 수 있으며, 키 회전 주기는 고객 정책에 따라 설정할 수 있습니다. 라이프 사이클 관리를 통해 더 이상 사용하지 않는 암호화 키는 비 활성화 하거나 삭제하여 암호학적 위협으로 부터 데이터를 안전하게 보호합니다.

구성 요소

마스터 키

마스터 키는 데이터를 암호화 하기 위해 사용되는 데이터 키를 생성하는 데 사용되며, 용도에 따라 대칭 키(암호화/복호화(AES), 생성/검증(HMAC)) 와 비대칭 키(암/복호화 및 서명/검증(RSA), 서명/검증(ECDSA))를 각각 생성 할 수 있습니다. 적절한 마스터 키 관리로 데이터 키를 암호화하여 운영 시 자주 사용되는 데이터 키를 보호할 수 있습니다.

• 마스터 키는 Samsung Cloud Platform Console에서 KMS 상품 서비스 생성을 통해 생성되는 키입니다.

데이터 키

데이터 키는 실제 데이터를 암호화하는 데 사용되며, 암호화를 수행하는 대상 서비스마다 생성됩니다. 이를 통해 하나의 데이터 키가 유출되더라도 다른 데이터 키로 암호화된 서비스에는 영향을 미치지 않습니다.

HSM (하드웨어 보안 모듈)

KMS 시스템 영역의 루트 키를 저장합니다. 마스터 키는 FIPS 140-2 Lv3 표준을 준수하는 HSM(Hardware Security Module)에 저장되어 있는 루트 키를 통해 생성하며, KMS에 안전하게 분산 저장하여 보호합니다.

제약 사항

Samsung Cloud Platform의 Key Management Service는 Key 생성 개수를 아래와 같이 제한합니다.

선행 서비스

Key Management Service는 선행 서비스가 없습니다.