블로그 릴레이 - KMS를 사용할 때 AWS 관리형 키와 고객 관리형 키의 선택 기준을 살펴봅시다.
안녕하세요! 클라우드 사업본부 컨설팅부의 김재욱입니다.
본 블로그는 당사의 한국어 블로그 릴레이의 2025년 34번 째 블로그입니다.
이번 블로그의 주제는 「KMS를 사용할 때 AWS 관리형 키와 고객 관리형 키의 선택 기준을 살펴봅시다.」 입니다.
AWS KMS란?
KMS(Key Management Service) 키는 데이터를 안전하게 암호화/복호화하거나 디지털 서명/검증을 할 수 있도록 하는 암호화/키 관리 서비스를 말합니다.
기본적으로 Amazon EBS, Amazon S3, Amazon RDS 등의 서비스에 암호화를 진행합니다.
보다 상세한 KMS에 대한 소개는 AWS 공식 문서에서 확인할 수 있습니다.
또한 AWS KMS는 AWS 관리형 키와 고객 관리형 키를 제공합니다.
이번 블로그에서는 어떤 상황에서 각각을 선택하면 좋을지 기준을 살펴보겠습니다.
키 선택 기준
먼저 키를 사용하기에 앞서서 어떤 서비스에 사용할 것인가를 파악해야 합니다.
아래 공식 문서를 살펴보면 [AWS 관리형 키만 지원] 하는 서비스가 있고, [AWS 관리형 키와 고객 관리형 키] 둘 다 지원하는 서비스가 있습니다.
AWS 관리형 키만 지원하는 서비스는 다음과 같습니다.
- AWS CodeCommit
- Amazon Lightsail
- Amazon DynamoDB Accelerator (DAX)
- AWS Certificate Manager
- AWS Cloud9
상기 서비스만을 이용하는 환경이라면 [AWS 관리키로 통일]하면 되겠지만, 고객 관리형 키, AWS 관리형 두 가지 모두 사용할 수 있는 상황이라면 어떻게 해야 할까요? 결과만 말하자면 되도록이면 AWS 관리키로 통일하여 관리, 운용하는 것을 추천드립니다.
서비스 부분을 확인했다면, [누가 키를 관리할 것인가]를 확인할 차례입니다.
키를 관리할 주체는 다음과 같습니다.
- AWS
- 사용자
AWS가 관리하는 경우(AWS 관리형 키의 경우) 다음과 같습니다.
- 키 생성, 저장, 삭제 등의 전체 라이프사이클을 AWS가 자동으로 관리해 운영 부담이 없습니다.
- 10,000건의 요청당 USD 0.03이 청구됨
사용자가 관리하는 경우(고객 관리형 키의 경우) 다음과 같습니다.
- 사용자 관리 키는 사용자가 자유롭게 키를 작성, 저장, 삭제, 권한 설정 등을 수행할 수 있습니다.
- 1개의 키 당 매월 1.00USD가 청구
- 10,000건의 요청당 USD 0.03이 청구됨
다만, 고객 관리형 키를 사용하는 경우 몇 가지 주의해야 할 사항이 있습니다.
- 운영 부하의 증가
- 각 서비스마다 KMS 키를 작성해 사용할 경우 운용 부담이 늘어납니다.
- 예시로 라이프 사이클을 사용자 스스로 관리할 필요가 있습니다.
- 각 서비스마다 KMS 키를 작성해 사용할 경우 운용 부담이 늘어납니다.
- 정책 설정의 난이도
- JSON 형식으로 정책을 설정할 필요가 있기 때문에 정책 작성 및 관리에 관한 어려움이 있으며, JSON 코드 기재 오류로 인한 문제 발생 가능성이 있습니다.
- 비용 발생
- AWS 관리형 키와 달리 고객 관리형 키는 키마다 매달 1.00달러의 비용이 발생한다.
- 테스트
- 키 정책을 만들 때마다 암호화, 복합화를 테스트할 필요가 있습니다.
- EBS의 암호화 변경
- 기존 환경에서 AWS 관리형 키로 EBS 암호화를 진행하고 있고, 고객 관리형 키로 전환을 고려한다면 Amazon EBS를 재작성할 필요가 있습니다.
- 현재 작성한 EBS를 편집하여 암호화 키를 변경할 수 없으므로 다시 작성해야 합니다.
- 기존 환경에서 AWS 관리형 키로 EBS 암호화를 진행하고 있고, 고객 관리형 키로 전환을 고려한다면 Amazon EBS를 재작성할 필요가 있습니다.
결론
IT 담당자가 암호화 키의 작성 및 삭제를 포함한 액세스 권한을 완전히 관리할 필요가 있다거나, 사내 컴플라이언스 요건이 있는 경우 고객 관리형 키를 사용할 필요가 있지만, 특별한 이유가 없다면 AWS 관리형 키를 권장합니다.
자금까지 설명한 내용을 정리한 이미지는 다음과 같습니다.
마무리
결국 KMS 키 선택은 복잡하게 가져갈 필요가 없습니다.
특별한 보안·컴플라이언스 요건이 없다면 AWS 관리형 키를 기본으로 사용하고, 규제 대응이나 세밀한 키 제어가 필요할 때에만 고객 관리형 키를 선택하면 됩니다.
서비스 확장성, 운영 효율성을 고려한다면 AWS 관리형 키가 대부분의 상황에서 합리적인 선택이 될 것입니다.
이상, 한국어 블로그 릴레이의 2025년 34번 째 블로그 「KMS를 사용할 때 AWS 관리형 키와 고객 관리형 키의 선택 기준을 살펴봅시다.」 편이었습니다. 다음 35번 째 블로그 릴레이는 10월 둘 째 주에 공개됩니다.
끝까지 읽어주셔서 감사합니다! 이상, 클라우드 사업본부 컨설팅부의 김재욱이었습니다.
문의 사항은 클래스메소드코리아로!
클래스메소드코리아에서는 다양한 세미나 및 이벤트를 진행하고 있습니다.
진행중인 이벤트는 아래 페이지를 참고해주세요.
AWS에 대한 상담 및 클래스 메소드 멤버스에 관한 문의사항은 아래 메일로 연락주시면 감사드립니다!
Info@classmethod.kr
