AWS KMS 대칭키 vs 비대칭키

퍼블릭 클라우드 관련/AWS

AWS KMS 대칭키 vs 비대칭키

호레 2025. 10. 20. 13:46

🔑 1️⃣ 개념 비교 요약

구분 대칭형 KMS 키 비대칭형 KMS 키

암호화 방식	동일한 키로 암호화/복호화	공개키로 암호화, 개인키로 복호화
대표 알고리즘	AES-256	RSA 2048/3072/4096, ECC
자동 회전	✅ 지원	❌ 지원 안 함
주 사용 목적	데이터 암호화	디지털 서명(Sign/Verify), 암호화 키 교환, 서명 검증
예시 사용처	EBS, S3, RDS, Secrets Manager, Lambda 환경 변수	CodeSigning, TLS 인증서, 데이터 검증용 서명
성능	빠름 (하드웨어 가속 가능)	느림 (비대칭 연산)

🧱 2️⃣ AWS 서비스별 KMS 키 유형 정리

✅ 대칭형 키만 지원하는 서비스 (대부분의 “데이터 암호화”)

서비스 키 타입 설명

Amazon EBS	대칭	볼륨 및 스냅샷 암호화
Amazon S3 (SSE-KMS)	대칭	객체 암호화 (서버측 암호화)
Amazon RDS / Aurora	대칭	DB 스토리지 및 백업 암호화
AWS Backup	대칭	백업 볼트 암호화
AWS Secrets Manager	대칭	비밀 값 암호화
AWS Lambda	대칭	환경 변수 암호화
AWS DynamoDB	대칭	테이블 암호화
Amazon SNS / SQS (SSE)	대칭	메시지 암호화
AWS Glue / Athena / EMR	대칭	쿼리 로그, 임시 데이터 암호화
AWS CloudTrail (로그 암호화)	대칭	로그 파일 암호화
AWS ECR / EFS / FSx	대칭	저장 데이터 암호화
AWS Config / CloudWatch Logs	대칭	로그 데이터 암호화
AWS Kinesis / MSK	대칭	스트림 데이터 암호화
AWS Step Functions / SSM Parameter Store (SecureString)	대칭	내부 암호화
AWS Organizations / IAM Access Analyzer (보안 데이터)	대칭	정책 암호화 내부적으로 사용

✅ 비대칭 키를 사용할 수 있는 서비스 (주로 서명 및 검증 목적)

서비스 키 타입 설명

AWS KMS 직접 API	비대칭	Sign/Verify, Encrypt/Decrypt API 사용 가능 (RSA, ECC)
AWS Certificate Manager (ACM)	비대칭	SSL/TLS 인증서용 공개/개인키 쌍 관리
AWS CloudHSM	비대칭	자체 서명, PKI, 키 교환 구현
AWS Code Signing for AWS Lambda	비대칭	Lambda 코드 패키지 서명 및 검증
AWS IoT	비대칭	디바이스 인증서 기반 서명 및 인증
AWS Nitro Enclaves	비대칭	데이터 암호화 키 교환 시 사용 (RSA/ECC)
AWS Signer	비대칭	컨테이너 이미지, 코드 아티팩트 서명

🔍 3️⃣ 정리 요약

범주 키 유형 대표 서비스 비고

스토리지 / 데이터 보호	🔸대칭	S3, EBS, RDS, Secrets Manager	빠르고 자동 회전 지원
로그 / 백업 / 메시징	🔸대칭	CloudTrail, Backup, SNS, SQS
서명 / 검증 / 인증서	🔹비대칭	ACM, Signer, IoT, KMS(Sign/Verify)	키 회전 불가, 수동 관리 필요
키 관리 인프라(PKI)	🔹비대칭	CloudHSM	완전 수동 제어 가능

🧠 기억 포인트

질문 답변

EBS, S3, RDS, Secrets Manager는 어떤 키?	모두 대칭 키 (AES-256)
Sign/Verify, Encrypt/Decrypt API용 KMS 키는?	비대칭 키
자동 키 회전 가능한가?	대칭 키만 가능
EBS 스냅샷은 비대칭 키로 암호화 가능?	❌ 절대 안 됨

저작자표시 비영리 (새창열림)