KMS는 주로 키 관리와 자격 증명 관리라는 두 가지 비즈니스 구성 요소를 제공합니다.

핵심 관리

자격 증명 관리

개념 설명하다 주요 서비스 키 서비스는 키의 안전한 저장 및 수명주기 관리, 키를 사용한 데이터 암호화 및 해독, 디지털 서명 및 서명 확인과 같은 암호화 컴퓨팅 서비스를 제공합니다. 주요 서비스에 대한 자세한 내용은 주요 서비스 개요를 참조하세요. 하드웨어 보안 모듈 HSM(하드웨어 보안 모듈) 하드웨어 보안 모듈은 암호화 작업을 수행하고 키를 안전하게 생성 및 저장하는 하드웨어 장치입니다. 암호화 기계는 IT 시스템을 구축할 때 가장 일반적으로 사용되는 하드웨어 보안 모듈입니다. KMS는 Alibaba Cloud Encryption Service에서 암호화 기계 클러스터의 통합을 지원하여 KMS에서 호스팅되는 키에 대해 더 높은 보안 및 규정 준수 수준을 보장하고 규제 기관의 테스트 및 인증 요구 사항을 충족합니다. CMK(고객 마스터 키) CMK(고객 마스터 키)는 귀하가 생성하고 KMS에서 호스팅하는 키를 말하며 줄여서 "마스터 키"라고 합니다. 마스터 키는 키 ID, 기본 메타데이터, 키 자료로 구성됩니다. 서비스 키 키는 사용자를 대신하여 클라우드 서비스에서 생성되고 KMS에서 호스팅됩니다. 이는 클라우드 제품 서버를 암호화할 때 기본적으로 사용됩니다. 기본 키 관리 기본 키 관리는 KMS에서 제공하는 키 관리 유형입니다. 기본 키는 다음을 포함하여 서버 측 암호화를 위한 클라우드 제품에만 통합될 수 있습니다. 서비스 키: 서버 측 암호화를 위해 사용자를 대신하여 클라우드 서비스에서 생성하고 호스팅하는 키입니다. 마스터 키: 마스터 키의 키 수명 주기를 독립적으로 생성하고 관리합니다. 각 지역마다 키 자료를 생성하거나 직접 가져올 수 있습니다. 기본 키의 경우 KMS는 대칭 암호화 알고리즘 AES_256만 사용하도록 지원합니다. 소프트웨어 키 관리 소프트웨어 키 관리는 KMS에서 제공하는 키 관리 유형입니다. 소프트웨어 키에는 키 수명 주기를 독립적으로 생성하고 관리하는 마스터 키만 포함되어 있습니다. 서버 측 암호화를 위해 클라우드 제품과 통합할 수 있으며 자체 구축 애플리케이션과 통합하여 애플리케이션 계층 암호화 솔루션을 구축할 수도 있습니다. 키 자료는 KMS에서만 생성할 수 있으며 직접 가져올 수 없습니다. 소프트웨어 키의 경우 KMS는 대칭 암호화 알고리즘 및 비대칭 암호화 알고리즘을 포함한 여러 키 사양을 사용할 수 있도록 지원합니다. 하드웨어 키 관리 하드웨어 키 관리는 KMS에서 제공하는 키 관리 유형입니다. 하드웨어 키에는 키 수명 주기를 독립적으로 생성하고 관리하는 마스터 키만 포함되어 있습니다. 서버 측 암호화를 위해 클라우드 제품과 통합할 수 있으며 자체 구축 애플리케이션과 통합하여 애플리케이션 계층 암호화 솔루션을 구축할 수도 있습니다. 키 자료는 KMS에 연결된 암호화 머신(HSM)에서 생성하거나 직접 가져올 수 있습니다. 하드웨어 키의 경우 KMS는 대칭 암호화 알고리즘 및 비대칭 암호화 알고리즘을 포함한 여러 키 사양을 사용할 수 있도록 지원합니다. 설명하다 KMS는 Alibaba Cloud Encryption Service의 암호화 머신(HSM) 클러스터에 연결하여 하드웨어 키 관리 및 암호화 작업을 제공합니다. 따라서 하드웨어 키를 사용하기 전에 암호화 머신(HSM)을 구입하고 Alibaba Cloud Encryption Service에서 암호화 머신 클러스터를 구성한 후 KMS에 연결해야 합니다. 특정 작업에 대해서는 KMS 하드웨어 키 관리 인스턴스를 통해 연결할 수 있는 암호화 머신 클러스터를 구성하는 방법을 참조하세요. 주요자료 키 자료는 암호화 작업의 중요한 입력 중 하나입니다. 키 자료를 기반으로 한 암호화 작업을 보호하려면 비대칭 암호화 알고리즘의 개인 키에 대한 키 자료와 대칭 암호화 알고리즘의 키 자료를 기밀로 유지하는 것이 좋습니다. 기본 키: 기본 키에서 마스터 키를 생성하면 KMS에 의한 키 자료 생성(원본 속성은 Aliyun_KMS)을 지원하고 직접 키 자료 가져오기(원본 속성은 EXTERNAL)도 지원합니다. 소프트웨어 키: 소프트웨어 키를 생성할 때 KMS에서 생성된 키 자료(원본 속성은 Aliyun_KMS)만 지원됩니다. 직접 키 자료를 가져오는 것은 현재 지원되지 않습니다. 하드웨어 키: 하드웨어 키를 생성하면 KMS에 연결된 암호화 시스템(HSM)이 키 자료를 생성할 수 있습니다(원본 속성은 Aliyun_KMS). 또는 사용자가 직접 키 자료를 가져올 수 있습니다(원본 속성은 EXTERNAL). 신임장 자격 증명은 데이터베이스 계정 비밀번호, SSH 키, 민감한 주소, AK 민감한 데이터 등과 같이 애플리케이션을 인증하는 데 사용되는 민감한 정보입니다. 비밀 관리자 Credential Manager는 자격 증명의 전체 수명 주기 관리와 안전하고 편리한 애플리케이션 액세스 방법을 제공하여 코드에 자격 증명을 하드 코딩하여 발생하는 민감한 정보 유출 위험을 방지하는 데 도움을 줍니다. 자격 증명 버틀러에 대한 자세한 내용은 자격 증명 버틀러 개요를 참조하세요. 애플리케이션 액세스 포인트 애플리케이션 액세스 포인트 AAP는 KMS에서 구현한 액세스 제어 체계로, 애플리케이션이 KMS 리소스에 액세스할 때 ID 인증 및 동작 인증에 적합합니다.

신원 인증 및 액세스 제어

키 사용 감사

클라우드 제품 통합 암호화

암호화가 쉬워졌습니다

중앙 집중식 키 에스크로

BYOK(Bring Your Own Key) 지원

KMS는 각 지역의 여러 가용 영역에서 중복 암호 컴퓨팅 기능을 지원하므로 Alibaba Cloud의 다양한 제품과 KMS에 대한 사용자 지정 애플리케이션에서 시작된 요청을 짧은 대기 시간으로 처리할 수 있습니다. 필요에 따라 빠르게 업그레이드할 수 있습니다.

KMS는 귀하의 키가 Alibaba Cloud에서 가장 엄격하게 보호되도록 보장하기 위해 엄격한 보안 설계 및 감사를 거쳤습니다.

KMS는 TLS 기반의 보안 액세스 채널만 제공하며 PCI DSS와 같은 보안 사양을 준수하는 보안 전송 암호화 알고리즘 제품군만 사용합니다.

KMS는 규제 기관의 허가 및 인증을 받은 암호화 시설을 지원합니다.

Alibaba Cloud Encryption Service는 국가 암호동물학 관리국(State Cryptozoology Administration)의 테스트 및 인증을 거쳐 GM/T 0028 레벨 2 인증을 획득한 하드웨어 암호화 장비를 제공합니다. KMS는 키 관리 및 비밀번호 계산을 위해 Alibaba Cloud Encryption Service에서 관리하는 암호화 시스템 클러스터 통합을 지원합니다.

하드웨어 암호화 장비를 구입하는 초기 비용과 지속적인 운영, 유지 관리, 패치 및 교체 비용을 지불할 필요가 없습니다.

KMS는 자체 구축된 키 관리 시설은 물론, 가용성과 안정성을 갖춘 암호화폐 클러스터 구축에 따른 R&D 비용과 유지관리 비용을 절감해줍니다.

KMS를 다른 Alibaba Cloud 제품과 통합하면 데이터 암호화 시스템 개발 비용이 절약되며, 클라우드에서 제어 가능한 데이터 암호화 기능을 얻으려면 키만 관리하면 됩니다.

장면 사용자 역할 요구하다 설명하다 정보 시스템은 보안 규정 준수 요구 사항을 충족합니다. 최고위험책임자(CRO) 정보 시스템의 보안 및 규정 준수를 보장합니다. CRO(최고 위험 책임자)로서 저는 IT 시스템이 다음을 포함하여 정보 시스템 보안 보호에 대한 요구 사항을 충족하기를 바랍니다. 키에 대한 완벽한 액세스 제어 및 보안 감사를 통해 중요한 데이터를 암호화하고 보호하기 위한 암호화 및 키 관리 기능을 적절하게 사용합니다. 자격 증명 유출로 인한 정보 유출 및 시스템 공격 위험을 방지하기 위해 데이터베이스 계정 비밀번호, 서버 계정 비밀번호, SSH 키 및 기타 자격 증명 정보의 사용을 안전하게 저장하고 제어합니다. 민감한 데이터 암호화 보호 IT 시스템 빌더 애플리케이션 시스템의 민감한 데이터 보안을 보장합니다. IT 시스템 빌더로서 IT 보안 부서의 요청에 따라 애플리케이션은 저장되거나 사용되는 민감한 비즈니스 데이터와 운영 데이터를 암호화하고 보호해야 합니다. KMS를 사용하면 자체 구축한 키 관리 및 암복호화 시설에 비해 구현 비용을 크게 줄일 수 있습니다. ISV 서비스 통합 KMS 자격 증명 관리 솔루션 서비스 제공업체ISV 서비스는 사용자의 자격 증명을 사용해야 하지만 사용자는 자격 증명의 내용이 서비스 제공자 직원에게 노출되는 것을 원하지 않습니다. ISV 서비스는 운영 중에 사용자의 자격증명 정보를 사용해야 하지만, 사용자는 민감한 자격증명 정보가 서비스 제공자에게 노출되는 것을 원하지 않습니다. ISV 서비스는 KMS를 통합하고 KMS를 타사 자격 증명 관리 솔루션으로 사용할 수 있습니다.

기업이나 조직이 정보 시스템의 보안 준수 요구 사항을 평가할 때 다음 두 가지 상황에 직면할 수 있습니다.

KMS는 기업이 규정 준수 요구 사항을 충족할 수 있도록 다음과 같은 기능을 제공합니다.

데이터 암호화 기술을 통해 클라우드에서 생성되거나 저장된 민감한 데이터를 보호할 수 있습니다. Alibaba Cloud는 다양한 방법으로 중요한 데이터를 암호화하고 보호할 수 있도록 지원합니다.

암호화 보호 방법 요구하다 설명하다 참조 문서 응용 프로그램 시스템은 KMS를 사용하여 데이터를 직접 암호화합니다. 암호화 기술을 통해 응용 시스템의 민감한 데이터 보안을 보호합니다. 이러한 민감한 데이터의 암호화 및 복호화 QPS는 높지 않으며 데이터 크기는 6K를 초과하지 않습니다. 예를 들어, AK 및 데이터베이스 계정 비밀번호와 같은 중요한 정보를 암호화하도록 애플리케이션을 구성하십시오. KMS의 암호화 API를 호출하여 해당 키를 사용하여 민감한 데이터를 직접 암호화합니다. KMS 마스터 키를 사용하여 온라인으로 데이터 암호화 및 해독 애플리케이션 시스템은 KMS를 사용하여 데이터를 암호화합니다. 암호화 기술을 통해 응용 시스템의 민감한 데이터 보안을 보호합니다. 이러한 민감한 데이터에는 높은 QPS 암호화 및 암호 해독이 필요하거나 암호화된 데이터의 양이 너무 커서 직접 암호화를 사용할 수 없습니다. 예를 들어 사용자의 휴대폰 번호, ID 번호와 같은 중요한 정보를 암호화합니다. 봉투 암호화 기술을 사용하여 KMS에 키를 저장하고 암호화된 데이터 키만 배포합니다. 데이터 키를 사용해야 하는 경우에만 KMS를 사용하여 비즈니스 데이터의 로컬 암호화 및 암호 해독을 위한 데이터 키의 일반 텍스트를 얻으세요. 암호화 보호를 위해 봉투 암호화를 캡슐화하는 암호화 SDK를 사용할 수도 있습니다. KMS 봉투 암호화를 사용하여 로컬로 데이터 암호화 및 해독 암호화 SDK 개요 클라우드 제품 서버 측 암호화 클라우드 상에서 IT 시설의 데이터 보안 환경에 대한 기본 보장을 제공합니다. 예를 들어 객체 스토리지 서버 측 암호화를 사용하여 민감한 데이터를 저장하는 OSS 버킷을 보호하거나 데이터베이스 투명 데이터 암호화(TDE)를 사용하여 민감한 데이터가 저장되는 테이블을 보호합니다. 데이터를 저장하기 위해 Alibaba Cloud 제품을 사용하는 경우, 클라우드 제품의 서버측 암호화 기능을 사용하면 데이터를 보다 효과적으로 암호화하고 보호할 수 있습니다. 서버측 통합 암호화를 지원하는 클라우드 서비스 자격 증명 관리자 사용 자격 증명의 전체 수명 주기 관리와 안전하고 편리한 애플리케이션 액세스 방법을 제공하여 코드에 자격 증명을 하드 코딩하여 발생하는 민감한 정보 유출 위험을 방지하는 데 도움을 줍니다. 예를 들어 Credential Manager에서 비밀번호, 토큰, SSH 키, AK와 같은 민감한 데이터를 호스팅하고 보안 액세스 방법을 통해 관리할 수 있습니다. 민감한 정보 액세스 자격 증명을 Credential Manager에 호스팅하여 애플리케이션 수준 보안 액세스 메커니즘을 통해 중요한 정보에 대한 액세스 보안을 보장하세요. 또한 데이터 유출 위험을 방지하기 위해 자격 증명을 동적으로 교체할 수도 있습니다. 자격 증명 관리 개요

사용자는 KMS에서 자격 증명을 관리하고 ISV 서비스에 자격 증명을 사용하도록 권한을 부여할 수 있습니다. KMS는 ISV 서비스와 사용자 간의 타사 보안 보호 메커니즘 역할을 하여 사용자와 ISV 서비스가 각자의 임무를 수행하고 시스템 보안을 공동으로 보장할 수 있도록 합니다.

사용자 역할 설명하다 참조 문서 사용자의 관리자 KMS에서 자격 증명을 관리합니다. 액세스 제어(RAM)에서 자격 증명 사용에 대한 권한을 관리하고 ISV 서비스가 Alibaba Cloud 계정 전체의 리소스 인증을 통해 KMS에서 지정된 자격 증명을 사용할 수 있도록 허용합니다. Alibaba Cloud 계정 전반에 걸친 리소스 승인 ISV 서비스 ISV 서비스는 KMS와 통합된 API를 통해 사용자가 지정한 자격 증명을 사용합니다. API 개요 사용자 감사자 ISV 서비스는 작업 감사(ActionTrail)를 통해 KMS에 액세스할 때마다 키 사용 동작에 대한 사후 감사를 수행합니다. 운영 감사를 이용하여 키관리 서비스의 운영 이벤트를 조회합니다.

KMS는 KMS API와 KMS 인스턴스 API라는 두 가지 API를 제공합니다. KMS API 요청 할당량은 Alibaba Cloud 계정마다 제한되며 KMS 인스턴스 API 성능 데이터는 KMS 인스턴스마다 제한됩니다.

KMS는 초당 요청되는 API 작업 수에 대한 할당량을 설정합니다. API 요청 할당량이 초과되면 KMS는 요청을 제한하고(즉, 유효한 요청을 거부함) 다음 예와 유사한 오류 응답을 반환합니다. 재시도를 통해 해결할 수 있는 오류 응답의 경우 애플리케이션에 요청 백오프 및 재시도 정책을 도입할 수 있습니다.

다음 표에는 단일 지역의 각 Alibaba Cloud 계정에 대한 KMS 요청 할당량이 나열되어 있습니다.

소프트웨어 키 관리 예시

하드웨어 키 관리 예시