Key Management Service 사용
    • PDF

    Key Management Service 사용

    • PDF

    Article Summary

    Classic/VPC 환경에서 이용 가능합니다 .

    Key Management Service에서 생성한 키는 사용자가 직접 관리할 수 있으며, 사용 권한에 따라 키를 관리하고 암/복호화 및 서명/검증에 사용할 수 있습니다. Key Management Service에서 키를 생성하고 관리하기 위해서는 권한 설정이 필요합니다. 이에 대한 자세한 사항은 Key Management Service 권한 관리 가이드를 참조해 주시기 바랍니다.

    참고

    생성한 키를 사용한 암/복호화, 서명/검증 기능은 Key Management Service API로 제공됩니다. Key Management Service API는 API Gateway를 통해 호출합니다. 자세한 사용 방법은 Key Management Service API 가이드API Gateway 사용 가이드를 참조해 주십시오.

    Key Management Service 화면

    Key Management Service 이용을 위한 기본적인 설명은 다음과 같습니다.

    kms-use_01_ko

    영역설명
    ① 메뉴 이름서비스 이름과 생성한 키 개수
    ② 기본 기능키 생성, 키 상세 정보 확인, 화면 새로 고침
    ③ 키 관리 기능키 회전, 키 상태 변경(비활성화, 활성화), 키 삭제, 키 이력 확인
    ④ 키 목록키 목록 및 상세 정보 확인, 자동 회전 및 회전 주기 관리, 버전별 키 활성화 여부 설정, 메모 입력

    키 목록 확인

    키 목록에서 키별 정보를 확인할 수 있습니다. 확인하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Key Management Service 메뉴를 차례대로 클릭해 주십시오.
    4. 키 목록이 나타나면 요약 정보를 확인하거나 키를 클릭하여 상세 정보를 확인해 주십시오.
      kms-use_02_ko
      • 키 이름: 생성한 키의 고유한 이름
      • 용도: 생성한 키의 쓰임으로 암/복호화, 서명/검증, 암/복호화 및 서명/검증의 세 가지 종류가 있음
        • 암/복호화: 대칭키 방식의 암호화(AES256-GCM96)에 이용하는 경우. 최대 32KB의 데이터를 암호화 할 수 있으며, 주로 크리덴셜 봉인에 사용
        • 암/복호화 및 서명/검증: 비대칭키 방식의 암호화 또는 서명/검증(RSA-2048)에 이용하는 경우. 최대 190B 데이터 암호화나 최대 8KB
        • 서명/검증: 비대칭키 방식의 서명과 검증(ECDSA-P256)에 이용하는 경우. 최대 8KB의 데이터 서명에 이용하고 검증할 수 있음
      • 상태: 생성한 키의 사용 가능 여부와 가장 최근 사용된 날짜. 상태에 대한 자세한 내용은 키 상태 참조
      • 생성 일자: 키를 생성한 날짜
      • 키 Tag: 키 이름과 더불어 키를 구분하는 고유 식별자로 Rest API로 암/복호화 기능 이용 시 사용
      • 수렴 암호화: 수렴 암호화 적용 여부
      • 타입: 키에서 사용하는 암호화 방식
      • 현재 버전: 키의 현재 버전
        • clouddbforpg_ico-02: 클릭 시 키에 연결된 전체 버전 목록 확인, 버전별 생성 날짜 확인 및 상태 변경 가능. 자세한 내용은 키 버전 관리 참조
          kms-use_03_ko
      • 자동 회전: 키의 자동 회전 여부
      • 회전 주기(다음 회전일): 키를 자동 회전으로 설정한 경우 키가 자동으로 회전되는 일 단위 주기
      • 사용 횟수: 키를 이용하여 암/복호화 기능이 호출된 횟수(Client Rest API 호출 횟수와 동일)
      • 메모: 키에 대한 추가 정보 및 설명
    참고

    키 Tag의 경우 기밀 정보로 취급하지 않습니다.

    키 상태

    Key Management Service에서는 키별로 최대 100개의 버전을 생성하여 관리할 수 있는데, 키의 상태는 해당 키의 모든 버전에 상속됩니다. 예를 들어 3개 버전을 가지고 있는 키의 상태가 사용 중지로 전환되면 3개의 버전 모두 사용 중지 상태가 됩니다. 만약 다시 활성화되어 사용 가능 상태가 되면 버전 상태는 자동으로 이전에 가지고 있던 상태로 돌아갑니다.

    참고

    생명 주기에 따른 키 상태에 대한 자세한 개념은 Key Management Service 개념을 참조해 주십시오.

    키의 각 상태별 설명은 다음과 같습니다.

    • 생성
      키의 생성이 요청되면, 키 관리 권고에 따른 키 생성 절차에 따라 안전하게 생성되어 고유의 식별자가 부여됩니다. 식별자가 부여된 키는 암호화된 저장소에 안전하게 저장되고, 유사시를 대비한 백업 지점이 생성됩니다.

    • 사용 가능
      모든 암/복호화 요청에 이용될 수 있는 키입니다. 생성된 키는 자동으로 활성화되어 사용 가능 상태로 전환되며, 언제든지 비활성화하여 사용을 중지할 수 있습니다. 사용 가능 상태의 키는 관리 과금 대상입니다.

    • 사용 중지
      비활성화되어 사용이 중지된 키이며, 언제든지 다시 활성화하여 사용 가능 상태로 전환할 수 있습니다. 언제든지 사용 가능한 상태로 유지하기 위해 사용 중지 상태의 키는 회전 주기를 따릅니다. 즉, 사용 중지 상태의 키라고 할지라도 다음 회전일에 예정대로 회전을 수행하여 새로운 버전으로 갱신됩니다. 사용 중지 상태의 키는 암/복호화 요청에 이용될 수 없습니다. 사용 중지 상태의 키는 관리 과금 대상입니다.

    • 삭제 요청
      더 이상 사용되지 않기 때문에 오·사용 및 불필요한 유지/관리를 줄이도록 사용자에 의해 삭제가 요청된 키입니다. 삭제 요청 상태의 키는 사용자의 키 삭제 요청이 발생한 72시간 후에 영구적으로 삭제됩니다. 사용자의 요청에 의해 삭제된 키는 복구할 수 없습니다. 삭제 요청 시에는 더 이상 사용하고 있는 사용자가 없는지 확인 후 신중하게 삭제 요청해야 합니다.
      단, 최종 삭제 이전까지 삭제 요청은 취소할 수 있으며 삭제 요청이 취소된 키는 즉시 사용 중지 상태로 전환됩니다. 사용 중지 상태와 마찬가지로 삭제 요청 상태의 키는 회전 주기를 따르며, 관리 과금 대상입니다. 만약 이미 해당 키의 사용자가 없다면 [즉시 삭제] 버튼을 클릭하여 바로 영구 삭제를 진행할 수도 있습니다.

    • 삭제
      영구적으로 삭제된 키이며, 사용자가 직접 확인할 수 없습니다. Key Management Service 내에서도 키는 삭제된 상태이며, 키의 정보 및 사용 이력 등 관리 정보 조회만 네이버 클라우드 플랫폼의 고객지원 > 문의하기를 통해 요청할 수 있습니다. 삭제된 키의 관리 정보는 1년간 유지된 후 삭제됩니다.

    키 상태에 따라 기본 기능의 이용 가능 여부가 달라집니다. 상태별 이용 가능한 기본 기능 정보는 다음과 같습니다.

    키 권한 관리키 회전키 비활성화/활성화키 삭제 요청/키 삭제 취소키 이력 보기
    사용 가능OO비활성화 OOO
    사용 중지OX활성화 OOO
    삭제 요청XXX키 삭제 취소 OO
    삭제-----

    키 상태는 중요하게 관리되어야 하며, 상태 변경을 초래하는 비활성화/활성화 및 삭제 요청 기능은 신중하게 진행해야 합니다. 키 상태가 안전하게 유지되도록 사용자의 모니터링이 필요하기 때문에 콘솔에서는 키 상태 변경 시 사용 권한이 부여된 서브 계정으로 키 상태 변경 알림 메일을 발송합니다. 사용자는 변경 알림 메일을 통해 키 상태를 실시간으로 체크할 수 있습니다.

    키 생성

    사용자 관리 키는 개수 제한 없이 생성할 수 있습니다. 단, 생성된 키 개수에 따라 과금이 발생하기 때문에 주의하여 생성해야 합니다. 키를 생성하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Key Management Service 메뉴를 차례대로 클릭해 주십시오.
    4. [키 생성] 버튼을 클릭해 주십시오.
    5. 키 생성 화면이 나타나면 필요한 정보를 입력해 주십시오.
      • 키 이름: 영어, 숫자, 특수문자 '-', '_'을 조합하여 3~15자 사이로 입력. 단, 첫 글자는 영문이어야 하며 사용자의 키 저장소 내 다른 키 이름과 중복 불가
      • 용도: 암/복호화(AES-256), 암/복호화 및 서명/검증(RSA-2048), 서명/검증(ECDSA) 가운데 클릭하여 선택
      • 암호화 유형: 용도에서 암/복호화(AES-256)를 선택한 경우 같은 평문에 대해 항상 같은 암호문을 생성하는 수렴 암호화(Convergent Encryption) 적용 여부를 클릭. 수렴 암호화를 선택한 경우 암/복호화 기능 호출 시 Context 파라미터가 필요. 자세한 내용은 아래 주의 박스를 참고
      • 회전 유형: 자동 회전 여부를 클릭
      • 회전 주기: 1~730일 사이로 입력(기본값: 90일)
      • 메모: 100자 이하로 입력
    6. [키 생성] 버튼을 클릭해 주십시오.
    참고

    수렴 암호화: Context는 초기 키(Seed Key)로부터 실제 암/복호화에 사용될 키와 IV(Initial Vector)를 파생(Derivation)합니다. 만약 올바르지 않은 Context가 입력되는 경우 복호화되지 않습니다. 수렴 암호화를 선택하면 Context가 같은 경우 매번 같은 키와 IV가 사용되기 때문에 같은 평문에 대해 항상 같은 암호문을 생성할 수 있습니다. 여러 평문에 모두 같은 Context를 적용하여 암호화 하는 것은 암호학적으로 위협에 취약할 수 있습니다. 안전한 암호화를 위해서는 Context를 데이터별로 적절하게 변경하여 사용할 것을 권고합니다. 수렴 암호화 미적용 시 모든 값이 임의로 파생되기 때문에 추가적인 Context 입력이 필요하지 않지만 동일한 평문이라도 매번 다른 암호문이 생성됩니다. 수렴 암호화 적용 여부는 키 생성 후에 변경할 수 없습니다.

    키 권한 관리

    참고

    2023년 11월 23일 기준으로 Key Management Service에서 자체적으로 제공되던 키 권한 관리 기능은 Sub Account를 통한 상세 권한 관리를 통해 이루어지도록 변경됩니다. 기존 이용 중이던 역할 기반 키 권한은 동일한 수준의 정책으로 마이그레이션 되며, 이에 대한 자세한 사항은 Key Management Service 권한 관리 가이드를 참조해 주시기 바랍니다.

    Key Management Service를 사용하기 위한 권한은 Sub Account를 통해 관리됩니다. Key Management Service 권한은 네이버 클라우드 플랫폼의 Sub Account에 미리 정의된 관리형(System Managed) 정책을 이용하거나 또는 사용자가 직접 세부 권한을 설정한 사용자 정의(User Created) 정책을 이용하여 관리할 수 있습니다.

    참고

    서브 계정에 관리형(System Managed) 정책 할당하기

    참고

    서브 계정에 Sub Account의 권한을 추가할 수 있는 권한이 필요합니다. 자세한 내용은 Sub Account 사용 가이드를 참조해 주십시오.

    1. Management & Goverance > Sub Account > Sub Accounts 메뉴를 클릭해 주십시오.
    2. 정책을 할당할 서브 계정을 선택해 주십시오.
    3. 정책 탭의 [개별 권한 추가] 를 클릭해 주십시오.
    4. NCP_KMS_MANAGER 권한을 검색하여 추가해 주십시오.

    서브 계정에 사용자 정의(User Created) 정책 할당하기

    참고

    서브 계정에 Sub Account의 권한을 추가할 수 있는 권한이 필요합니다. 자세한 내용은 Sub Account 사용 가이드를 참조해 주십시오.

    1. Management & Goverance > Sub Account > Policies 메뉴를 클릭해 주십시오.
    2. [정책 생성] 을 클릭해 주십시오.
    3. [정책 적용 대상][서비스] 에서 Key Management Service 를 선택해 주십시오.
    4. 할당하고자 하는 권한을 선택해 주십시오.
    5. 키별 권한을 할당하고자 하는 경우 [리소스 지정] 을 활성하 하고, 키 리소스를 선택해 주십시오.
    6. [적용 대상 추가] 를 클릭하여 적용 대상 을 추가합니다.
    7. 키 리소스 지정이 완료되면 [생성] 을 클릭하여 정책 생성을 완료합니다.
    8. Management & Goverance > Sub Account > Sub Accounts 메뉴를 클릭해 주십시오.
    9. 정책을 할당할 서브 계정을 선택해 주십시오.
    10. 정책 탭의 [개별 권한 추가] 를 클릭해 주십시오.
    11. 7에서 생성한 권한을 검색하여 추가해 주십시오.

    키 버전 관리

    보안을 위해 키 버전을 관리할 수 있습니다. 모든 암호화 키에는 다양한 보안 위협이 존재하기 때문에 권고되는 사용 기한이 있습니다. 따라서 보안 위협에 대비하려면 사용 기한이 만료되기 전 새로운 키로 갱신하는 것이 좋습니다. Key Management Service에서는 암복호화에 이용되는 실제 '키 값'이 버전을 기준으로 구분되며, 키 버전을 갱신하면 키를 갱신하는 것과 같은 효과를 기대할 수 있습니다. 키 Tag로 식별되는 키는 내부적으로 최대 100개의 버전을 가질 수 있습니다.

    키 회전

    Key Management Service의 키 버전을 갱신하려면 키 회전 기능을 이용합니다. 최초 생성된 키의 버전은 1이며 이후 회전할 때마다 갱신되어 최대 100개까지의 버전을 유지할 수 있습니다. 100번의 키 회전 후에는 더 이상 회전할 수 없기 때문에 새로운 키로 교체해야 합니다.

    키 회전은 정해진 회전 주기에 따라 자동 수행하는 자동 회전과 사용자가 필요에 의해 수동으로 수행하는 수동 회전이 있습니다. 각 회전에 대한 설명은 다음과 같습니다.

    • 자동 회전: 설정된 회전 주기마다 자동으로 회전을 수행합니다.
    • 수동 회전: 사용자가 필요에 의해 수동으로 회전을 수행합니다. 수동 회전은 다음 자동 회전 스케줄에 영향을 주지 않습니다. 예를 들어 90일의 자동 회전 주기를 가진 키가 다음 회전일까지 10일이 남아있는 상태에서 수동 회전을 수행한다 하더라도 10일 후에는 예정대로 자동 회전이 실행됩니다.
    주의
    • 자동 회전을 적용하지 않은 키는 수동 회전을 하지 않는 이상 회전되지 않기 때문에 보안상 취약해질 수 있습니다. 안전을 위한 주기적인 키 갱신 및 관리에 대한 모든 책임은 사용자에게 있습니다.
    • 키 회전 이후 주의해야 할 사항은 다음과 같습니다.
      • 암호화는 가장 최신 버전의 키로만 가능하므로 키가 회전되어 버전이 갱신되면 이전 버전의 키는 더 이상 암호화에 사용할 수 없고 오로지 복호화 용도로만 사용할 수 있습니다.
      • 키가 회전되어 새로운 버전으로 갱신되면 이전 버전의 키를 이용하던 사용자들은 가급적 빠른 시일 내에 새로운 버전의 키로 재암호화하고 이전 버전은 비활성화하는 것을 권고합니다. 재암호화를 위한 API 사용 방법은 Re-encrypt를 참조해 주십시오.
      • 복호화 시 정확한 버전을 설정해야 올바른 결과를 얻을 수 있습니다. 암호문에 포함된 prefix (ex. ncpkms:v1)을 임의로 변경하면 복호화가 올바르게 처리되지 않습니다.

    수동 회전

    키에 대한 보안 위협 사항이 발생했다고 판단한 경우나 기타 사용자의 판단에 의해 수동 회전으로 즉시 갱신할 수 있습니다. 키를 새로운 버전으로 갱신하기 위해 수동으로 회전하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Key Management Service 메뉴를 차례대로 클릭해 주십시오.
    4. 수동 회전할 키를 클릭하여 선택한 다음 [키 회전] 버튼을 클릭해 주십시오.
    5. 지금 회전 팝업 창이 나타나면 [확인] 버튼을 클릭해 주십시오.
    6. 현재 버전에서 갱신한 버전 정보를 확인해 주십시오.
      kms-use_05_ko

    자동 회전

    키가 일정 주기마다 새로운 버전으로 자동 갱신되도록 자동 회전을 설정하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Key Management Service 메뉴를 차례대로 클릭해 주십시오.
    4. 자동 회전할 키를 클릭하여 선택한 다음 자동 회전을 클릭하여 선택해 주십시오.
    5. 자동 회전 주기를 설정하기 위해 회전 주기(다음 회전일)[Edit] 버튼을 클릭해 주십시오.
      kms-use_06_ko
    6. 회전 주기 변경 팝업 창이 나타나면 회전 주기를 입력해 주십시오.
      • 1~730일 사이로 입력(기본값: 90일)
      • 변경 즉시 다음 회전일 변경
    7. [확인] 버튼을 클릭해 주십시오.

    키 비활성화/활성화

    정상적으로 사용 중이던 키를 특정 사유나 사용자의 판단에 의해 비활성 상태로 변경하거나 비활성 상태인 키를 다시 활성 상태로 변경할 수 있습니다. 키의 활성 여부를 설정하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Key Management Service 메뉴를 차례대로 클릭해 주십시오.
    4. 활성 여부를 설정할 키를 클릭하여 선택한 다음 설정을 진행해 주십시오.
      • 활성 상태를 비활성 상태로 변경하려는 경우: [키 비활성화] 버튼 클릭
        • 키 비활성화 팝업 창: 비활성화할 키의 사용 이력이 있는 경우 팝업 창의 최근 사용 이력을 확인한 후 [비활성화] 버튼 클릭
      • 비활성 상태를 활성 상태로 변경하려는 경우: [키 활성화] 버튼 클릭
    5. 키 목록에서 변경된 키 상태를 확인해 주십시오.
      • 사용 중지: 비활성화되어 사용이 중지된 키이며, 언제든지 다시 활성화하여 사용가능 상태로 전환할 수 있습니다. 언제든지 사용 가능한 상태로 유지하기 위해 사용중지 상태의 키는 회전 스케줄을 따릅니다.
      • 사용 가능: 모든 암/복호화 요청에 이용될 수 있는 상태
    주의

    키 비활성화 시 해당 키를 사용하던 사용자들이 키를 사용하지 못하게 되므로 설정 시 주의해 주십시오.

    키 삭제

    더 이상 사용되지 않는 키에 대한 삭제를 요청할 수 있습니다. 삭제 요청된 키는 72시간의 대기를 거친 후 영구 삭제됩니다. 삭제 요청된 키는 삭제 예정 상태로 전환되며, 사용 중지 상태와 마찬가지로 암/복호화 요청에 이용할 수 없습니다. 만약 삭제 대기가 필요 없다면 즉시 삭제도 가능합니다. 예를 들어 사용자가 없는 키인 경우 삭제하더라도 데이터 유실 우려가 없으므로 72시간 대기 없이 바로 삭제할 수 있습니다.

    주의

    한 번 삭제한 키는 영구 삭제되어 복구가 불가능하므로 신중하게 결정해 주십시오. 특히 [즉시 삭제] 의 경우 키가 바로 삭제되며 취소가 불가능하기 때문에 주의해 주십시오.

    삭제 대기 중인 키의 삭제 요청을 취소하기 위해서는 72시간의 대기 시간이 경과되기 전에 [키 삭제 취소] 버튼을 클릭해 주십시오. 버튼 클릭 시 삭제 요청은 철회되며 즉시 사용 중지 상태로 전환됩니다. 키를 다시 사용하려면 활성 상태로 전환하면 됩니다.
    키를 삭제하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Key Management Service 메뉴를 차례대로 클릭해 주십시오.
    4. 삭제할 키를 클릭하여 선택한 다음 [키 삭제 요청] 버튼을 클릭해 주십시오.
    5. 키 삭제 요청 팝업 창이 나타나면 [삭제 요청] 버튼을 클릭해 주십시오.
      • 주의 팝업 창: 삭제할 키의 사용 이력이 있는 경우 팝업 창의 최근 사용 이력을 확인한 후 [삭제 요청] 버튼 클릭
        kms-use_07_ko
    6. 키 목록에서 삭제 요청 후 변경된 키 상태를 확인해 주십시오.
      • 삭제 예정: 삭제 요청이 접수되어 완전 삭제까지 72시간 동안 대기 중인 상태
    7. 상태 필드에 표시된 삭제 예정 날짜에 삭제하지 않고 즉시 삭제하려면 [지금 삭제] 버튼을 클릭해 주십시오.
      kms-use_08_ko

    키 이력 확인

    다양한 보안 위협에 대비하기 위해 키의 모든 사용 이력을 조회하여 키가 적절하게 운용되고 있는지 모니터링할 수 있습니다. 키 사용 이력을 확인하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴에서 이용 중인 리전을 클릭하여 선택해 주십시오.
    2. Platform 메뉴에서 VPCClassic 가운데 클릭하여 선택해 주십시오.
    3. Services > Security > Key Management Service 메뉴를 차례대로 클릭해 주십시오.
    4. 사용 이력을 확인할 키를 클릭하여 선택한 다음 [키 이력 보기] 버튼을 클릭해 주십시오.
    5. 사용 이력 팝업 창이 나타나면 필요한 정보를 확인해 주십시오.
      kms-use_09_ko
      • IP: 작업을 진행한 계정(주체)의 IP 주소 및 접속 정보
      • 일시: 작업을 진행한 날짜
      • 작업: 진행한 작업의 내용
      • 결과: 진행한 작업의 성공 여부
      • 계정: 작업을 진행한 계정의 아이디

    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.