🗝️

AWS KMS

보안암호화 키 관리

▶아키텍처 다이어그램

점선 애니메이션은 데이터 또는 요청의 흐름 방향을 나타냅니다

왜 필요한가요?

데이터를 암호화해야 해도 키를 파일이나 코드로 직접 관리하면 유출·회전·감사가 어렵습니다. 키 수명주기를 중앙에서 통제할 서비스가 필요합니다.

안에서 어떻게 동작하나요?

KMS는 고객 관리 키와 정책, 권한 부여를 관리하고 다른 AWS 서비스가 이 키를 사용해 암호화하도록 연결합니다. 누가 어떤 키를 사용했는지 감사 로그도 남길 수 있습니다.

무엇과 헷갈리나요?

둘 다 AWS 보안의 핵심입니다. 하지만 IAM은 누가 어떤 작업을 할 수 있는지 정하고, KMS는 데이터를 어떤 키로 암호화하고 복호화할지 정합니다. 접근 권한이 문제면 IAM, 데이터 암호화가 문제면 KMS입니다.

IAM

접근 권한 관리

둘 다 보안 서비스지만 IAM은 누가 접근할 수 있는지 정하고, KMS는 그 데이터가 어떤 키로 암호화될지 정한다는 점이 핵심 차이입니다.

왜 이런 방식이 등장했나요?

애플리케이션이 각자 키를 파일로 들고 있던 방식은 회전과 폐기, 감사가 매우 어렵습니다. 그래서 클라우드 자원 전반에 공통으로 연결할 수 있는 중앙 키 관리 계층인 KMS가 필요해졌습니다.

언제 쓰나요?

S3 객체, EBS 볼륨, RDS 데이터베이스, 민감 정보 암호화처럼 키 관리와 감사가 중요한 워크로드에 적합합니다. 누가 어떤 리소스에 접근 가능한지 제어하는 것은 KMS의 역할이 아닙니다.

저장 데이터 암호화키 순환감사 및 규정 준수애플리케이션 암호화

무제한 객체 스토리지

키 전략을 세웠다면 실제 데이터를 어디에서 가장 많이 암호화할지 보게 되므로, 다음에는 S3 객체 암호화 흐름을 보는 것이 자연스럽습니다.

RDS

관리형 관계형 데이터베이스

KMS는 저장 데이터 암호화가 필요한 RDS 인스턴스와 자주 함께 설정됩니다.

Official Docs

현재 페이지의 개념 설명을 본 뒤 공식 문서로 바로 이동합니다.

AWS

시작하기

빠른 입문과 핵심 개념

개발자 가이드

설정, API, 심화 사용법