비유로 이해하기
KMS는 은행 금고 안의 마스터 열쇠 보관함이에요. 여러분의 소중한 데이터를 잠그는 열쇠를 AWS가 안전하게 보관하고 관리해줘요. 열쇠를 직접 들고 다니지 않아도 되니 분실 걱정이 없어요.
동작 원리
애니메이션 준비 중입니다
언제 쓰나요?
🔐
S3 버킷 데이터 암호화
S3에 저장되는 파일을 자동으로 암호화하고 싶을 때 KMS 키를 지정하면 업로드 시 자동 암호화, 다운로드 시 자동 복호화가 됩니다.
🗄️
데이터베이스 암호화
RDS, DynamoDB 등의 데이터베이스를 KMS 키로 암호화하면 디스크에 저장된 데이터가 보호돼요. 규정 준수(Compliance)에 필수적입니다.
📝
민감한 설정값 암호화
환경변수나 설정 파일에 있는 민감한 정보를 KMS로 암호화해두면 코드가 유출되더라도 원본 데이터를 알 수 없어요.
요금 예시
KMS는 키를 만들고 사용한 만큼 돈을 내요. 키 하나당 월 약 1달러, 키를 사용할 때마다 아주 적은 비용이 들어요. 소규모 프로젝트라면 월 몇 달러 수준이에요.
자주 묻는 질문
❓
KMS 키를 삭제하면 데이터를 복구할 수 있나요?
KMS 키를 삭제하면 그 키로 암호화된 모든 데이터를 영구적으로 복호화할 수 없게 돼요. 그래서 삭제 시 7~30일의 대기 기간이 있어요.
❓
KMS와 CloudHSM의 차이는 뭔가요?
KMS는 AWS가 관리하는 공유 HSM을 사용하고, CloudHSM은 전용 HSM 장비를 제공해요. 더 엄격한 규정 준수가 필요할 때 CloudHSM을 선택합니다.
❓
다른 AWS 계정과 키를 공유할 수 있나요?
네! 키 정책에서 다른 계정의 IAM 엔티티에 권한을 부여하면 교차 계정으로 키를 공유할 수 있어요.