Key Management Service 용어

Classic/VPC 환경에서 이용 가능합니다 .

Key Management Service를 사용하기 위해 반드시 알아두어야 할 몇 가지 용어가 있습니다. 용어와 용어에 대한 설명은 다음과 같습니다.

Key Management Service 관리자

Sub Account를 통해 관리형 정책 NCP_KMS_MANAGER를 부여 받은 서브 계정

대칭 키 방식 암호화·Symmetric Key-based Encryption

암호화와 복호화에 동일한 키를 이용하는 암호화 방식. 데이터 비트에 치환과 전치를 반복 수행하여 암호문과 평문을 생성하며, 데이터 기밀성 보장을 위해 암호화는 일반적으로 대칭 키 방식을 사용

데이터 키(또는 데이터 암호화 키)·Data Key

데이터 암호화에 직접적으로 적용되는 키. 사용자가 직접 보관하는 키를 의미하며, 이 가이드에서는 데이터 키, 데이터 암호화 키, DEK 등의 용어로 지칭

루트 키·Root key

KMS 시스템을 보호하는 시스템 최상위 키. KMS의 모든 키 데이터는 루트 키로 암호화되어 스토리지에 저장

원시 키·Raw key

실제 암복호화에 사용되는 키 데이터. 예를 들어, AES 256 암호화를 사용하는 경우에는 256 비트의 원시 키가 암호 알고리즘에 입력됨

복호화·Decryption

암호화를 통해 변환된 암호문을 원래의 데이터(평문)로 변환하는 과정

봉인·Seal

데이터 키나 크리덴셜을 암호화하는 행위

비대칭키 방식 암호화·Asymmetric Key-based Encryption

데이터 암/복호화 시 암호화와 복호화에 다른 키를 이용하는 암호 방식(공개 키 방식 암호화 방식). 데이터와 키를 수학적 원리를 이용해 계산하여 암호문/평문을 생성하며, 생성 시 사용하는 키는 공개 가능한 키값과 보안을 유지해야 하는 키값의 쌍으로 구성

사용자 관리 키(또는 키)

고객이 KMS에 생성하여 관리하는 키. 어떠한 경우에도(시스템 운영자라 할지라도) 키값을 직접적으로 확인할 수 없고 KMS 시스템 외부로 노출되지 않으며 일반적으로 데이터키나 크리덴셜을 봉인하는 용도로 사용하는 것을 권장. KMS 이용 가이드에서는 키나 마스터 키라는 용어로 지칭

암호화·Encryption

키를 이용해 데이터(평문)를 무작위로 조작하여 의미를 파악할 수 없는 정보(암호문)로 변환하는 과정

크리덴셜·Credentials

데이터키 뿐만 아니라 패스워드, 인증서의 개인키 등 자격 증명에 이용되는 모든 데이터

키 저장소·Key Store

Key Management Service 이용 고객당 하나씩 생성되는 키 저장 공간. 고객이 생성하는 키는 모두 각자의 키 저장소에 생성되며, 각각의 키 저장소는 논리적으로 격리되어 관리. 키 저장소는 Key Management Service 콘솔을 통해 접근하여 관리 가능

회전·Rotation

여러 암호학적 위협에 대비하여 키를 갱신하는 작업

바운더리·Boundary

암호키의 사용 및 저장에 대한 물리적 범위

격리·Isolation

암호키의 사용 및 저장에 대한 물리적 범위를 제한하기 위하여 바운더리를 설정하는 것