기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 2단계: 래핑 퍼블릭 키 및 가져오기 토큰 다운로드
[키 구성 요소 없이 AWS KMS key 를 생성한](importing-keys-create-cmk.md) 후 AWS KMS 콘솔 또는 [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) API를 사용하여 래핑 퍼블릭 키와 해당 KMS 키에 대한 가져오기 토큰을 다운로드합니다. 래핑 퍼블릭 키와 가져오기 토큰은 분리할 수 없는 세트이므로 함께 사용해야 합니다.
래핑 퍼블릭 키를 사용하여 전송용 [키 구성 요소를 암호화](importing-keys-encrypt-key-material.md)합니다. RSA 래핑 키 페어를 다운로드하기 전에 [3단계](importing-keys-encrypt-key-material.md)에서 전송을 위해 가져온 키 구성 요소를 암호화하는 데 사용할 RSA 래핑 키 페어의 길이(키 사양)와 래핑 알고리즘을 선택합니다.는 SM2 래핑 키 사양(중국 리전만 해당) AWS KMS 도 지원합니다.
각 래핑 퍼블릭 키와 가져오기 토큰 세트는 24시간 동안 유효합니다. 다운로드한 후 24시간 내에 이를 이용해 키 구성 요소를 가져오지 않을 경우, 새로운 세트를 다운로드해야 합니다. 언제든지 새로운 래핑 퍼블릭 키를 다운로드하고 토큰 세트를 가져올 수 있습니다. 이를 통해 RSA 래핑 키 길이(‘키 사양’)를 변경하거나 손실된 세트를 교체할 수 있습니다.
래핑 퍼블릭 키와 가져오기 토큰 세트를 다운로드하여 [동일한 키 구성 요소를 KMS 키로 다시 가져올](importing-keys-import-key-material.md#reimport-key-material) 수도 있습니다. 이 방법으로 키 구성 요소의 만료 시간을 설정 또는 변경하거나, 만료되었거나 삭제된 키 구성 요소를 복원할 수 있습니다. 키 구성 요소를 가져올 때마다 키 구성 요소를 다운로드하고 다시 암호화해야 합니다 AWS KMS.
**래핑 퍼블릭 키 사용**
다운로드에는 래핑 퍼블릭 키라고도 하는 AWS 계정에 고유한 *퍼블릭 키*가 포함됩니다.
키 구성 요소를 가져오기 전에 퍼블릭 래핑 키로 키 구성 요소를 암호화한 다음 암호화된 키 구성 요소를에 업로드합니다 AWS KMS. 가 암호화된 키 구성 요소를 AWS KMS 수신하면 해당 프라이빗 키로 키 구성 요소를 복호화한 다음 AWS KMS 하드웨어 보안 모듈(HSM) 내에서 AES 대칭 키로 키 구성 요소를 다시 암호화합니다.
**가져오기 토큰 사용**
다운로드에는 키 구성 요소를 올바르게 가져올 수 있도록 하는 메타데이터가 포함된 가져오기 토큰이 포함되어 있습니다. 암호화된 키 구성 요소를에 업로드 AWS KMS할 때는이 단계에서 다운로드한 것과 동일한 가져오기 토큰을 업로드해야 합니다.
## 래핑 퍼블릭 키 사양 선택
가져오기 중에 키 구성 요소를 보호하려면 다운로드한 래핑 퍼블릭 키 AWS KMS와 지원되는 [래핑 알고리즘](#select-wrapping-algorithm)을 사용하여 키 구성 요소를 암호화합니다. 래핑 퍼블릭 키와 가져오기 토큰을 다운로드하기 전에 키 사양을 선택합니다. 모든 래핑 키 페어는 AWS KMS 하드웨어 보안 모듈(HSMs)에서 생성됩니다. 프라이빗 키는 절대 일반 텍스트로 HSM을 벗어나지 않습니다.
**RSA 래핑 키 사양**
래핑 퍼블릭 키의 *키 사양*에 따라 AWS KMS로 전송되는 동안 키 구성 요소를 보호하는 RSA 키 쌍의 키 길이가 결정됩니다. 일반적으로, 실용적이고 가장 긴 래핑 퍼블릭 키를 사용하는 것이 좋습니다. 다양한 HSM 및 키 관리자를 지원하기 위해 여러 가지 래핑 퍼블릭 키 사양을 제공하고 있습니다.
AWS KMS 는 명시된 경우를 제외하고 모든 유형의 키 구성 요소를 가져오는 데 사용되는 RSA 래핑 키에 대해 다음 키 사양을 지원합니다.
+ RSA\$14096(권장)
+ RSA\$13072
+ RSA\$12048
**참고**
ECC\$1NIST\$1P521 키 구성 요소, RSA\$12048 퍼블릭 래핑 키 사양, RSAES\$1OAEP\$1SHA\$1\$1 래핑 알고리즘과 같은 조합은 지원되지 않습니다.
ECC\$1NIST\$1P521 키 구성 요소를 RSA\$12048 퍼블릭 래핑 키로 직접 래핑할 수는 없습니다. 더 큰 래핑 키나 RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1 래핑 알고리즘을 사용하세요.
**SM2 래핑 키 사양(중국 리전만 해당)**
AWS KMS 는 비대칭 키 구성 요소를 가져오는 데 사용되는 SM2 래핑 키에 대해 다음 키 사양을 지원합니다.
+ SM2
## 래핑 알고리즘 선택
가져오는 동안 키 구성 요소를 보호하려면 다운로드한 래핑 퍼블릭 키와 지원되는 래핑 알고리즘을 사용하여 암호화합니다.
AWS KMS 는 여러 표준 RSA 래핑 알고리즘과 2단계 하이브리드 래핑 알고리즘을 지원합니다. 일반적으로, 가져온 키 구성 요소 및 [래핑 키 사양](#select-wrapping-key-spec)과 호환되는 가장 안전한 래핑 알고리즘을 사용하는 것이 좋습니다. 일반적으로 키 구성 요소를 보호하는 하드웨어 보안 모듈(HSM) 또는 키 관리 시스템에서 지원되는 알고리즘을 선택합니다.
다음 테이블에는 각 유형의 키 구성 요소 및 KMS 키에 지원되는 래핑 알고리즘이 나와 있습니다. 알고리즘은 기본 설정 순서대로 나열됩니다.
| 키 구성 요소 | 지원되는 래핑 알고리즘 및 사양 |
| --- | --- |
| 대칭 암호화 키 256비트 AES 키 128비트 SM4 키(중국 리전 전용) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
| 비대칭 RSA 프라이빗 키 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
| 비대칭 타원 곡선(ECC) 프라이빗 키 RSA\$12048 래핑 키 사양과 함께 RSAES\$1OAEP\$1SHA\$1\$1 래핑 알고리즘을 사용하여 ECC\$1NIST\$1P521 키 구성 요소를 래핑할 수 없습니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
| 비대칭 SM2 프라이빗 키(중국 리전만 해당) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
| HMAC 키 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/importing-keys-get-public-key-and-token.html) |
**참고**
`RSA_AES_KEY_WRAP_SHA_256` 및 `RSA_AES_KEY_WRAP_SHA_1` 래핑 알고리즘은 중국 리전에서는 지원되지 않습니다.
+ `RSA_AES_KEY_WRAP_SHA_256` -생성한 AES 대칭 키로 키 구성 요소를 암호화한 다음 다운로드한 RSA 퍼블릭 래핑 키와 RSAES\$1OAEP\$1SHA\$1256 래핑 알고리즘을 사용하여 AES 대칭 키를 암호화하는 2단계 하이브리드 래핑 알고리즘입니다.
`SM2PKE` 래핑 알고리즘을 사용해야 하는 중국 리전을 제외하고 RSA 프라이빗 키 구성 요소를 래핑하기 위해서는 `RSA_AES_KEY_WRAP_SHA_*` 래핑 알고리즘이 필요합니다.
+ `RSA_AES_KEY_WRAP_SHA_1` -생성한 AES 대칭 키로 키 구성 요소를 암호화한 다음 다운로드한 RSA 래핑 퍼블릭 키와 RSAES\$1OAEP\$1SHA\$11 래핑 알고리즘을 사용하여 AES 대칭 키를 암호화하는 2단계 하이브리드 래핑 알고리즘입니다.
`SM2PKE` 래핑 알고리즘을 사용해야 하는 중국 리전을 제외하고 RSA 프라이빗 키 구성 요소를 래핑하기 위해서는 `RSA_AES_KEY_WRAP_SHA_*` 래핑 알고리즘이 필요합니다.
+ `RSAES_OAEP_SHA_256` – SHA-256 해시 기능이 있는 OAEP(Optimal Asymmetric Encryption Padding)를 사용한 RSA 암호화 알고리즘입니다.
+ `RSAES_OAEP_SHA_1` – SHA-1 해시 기능이 있는 OAEP(Optimal Asymmetric Encryption Padding)를 사용한 RSA 암호화 알고리즘입니다.
+ `RSAES_PKCS1_V1_5` (사용되지 않음, 2023년 10월 10일부터 RSAES\$1PKCS1\$1V1\$15 래핑 알고리즘을 지원하지 AWS KMS 않음) - PKCS \$11 버전 1.5에 정의된 패딩 형식의 RSA 암호화 알고리즘입니다.
+ `SM2PKE`(중국 리전만 해당) – OSCCA가 GM/T 0003.4-2012에서 정의한 타원형 곡선 기반 암호화 알고리즘입니다.
**Topics**
+ [래핑 퍼블릭 키 사양 선택](#select-wrapping-key-spec)
+ [래핑 알고리즘 선택](#select-wrapping-algorithm)
+ [래핑 퍼블릭 키 및 가져오기 토큰 다운로드(콘솔)](#importing-keys-get-public-key-and-token-console)
+ [래핑 퍼블릭 키 및 가져오기 토큰 다운로드(AWS KMS API)](#importing-keys-get-public-key-and-token-api)
## 래핑 퍼블릭 키 및 가져오기 토큰 다운로드(콘솔)
AWS KMS 콘솔을 사용하여 래핑 퍼블릭 키와 가져오기 토큰을 다운로드할 수 있습니다.
1. 방금 [키 구성 요소 없이 KMS 키를 생성](importing-keys-create-cmk.md#importing-keys-create-cmk-console)하기 위한 절차를 마쳤고 현재 **Download wrapping key and import token(래핑 키 및 가져오기 키 다운로드)** 페이지에 있다면 [Step 10](#id-wrap-step)으로 넘어갑니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
**작은 정보**
키 구성 요소는 **오리진**이 **외부(키 구성 요소 가져오기)**인 KMS 키로만 가져올 수 있습니다. 이는 키 구성 요소 없이 KMS 키가 생성되었음을 나타냅니다. 테이블에 **Origin(오리진)** 열을 추가하려면 페이지의 오른쪽 상단 모서리에서 설정 아이콘(![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/console-icon-settings-new.png))을 선택합니다. **Origin(오리진)**을 활성화한 다음, **확인**을 선택합니다.
1. 가져오기가 보류 중인 KMS 키의 별칭 또는 키 ID를 선택합니다.
1. **암호화 구성(Cryptographic configuration)** 탭을 선택하고 해당 값을 봅니다. **일반 구성** 섹션 아래에 탭이 있습니다.
키 구성 요소는 **오리진**이 **외부(키 구성 요소 가져오기)**인 KMS 키로만 가져올 수 있습니다. 가져온 키 구성 요소가 있는 KMS 키를 생성하는 방법은 [키의 AWS KMS 키 구성 요소 가져오기](importing-keys.md) 섹션을 참조하십시오.
1. 키 유형에 따라 적절한 탭을 선택합니다.
+ 비대칭 키와 HMAC 키의 경우 **키 구성** 요소 탭을 선택합니다.
+ 대칭 암호화 키의 경우 **키 구성 요소 및 교체** 탭을 선택합니다.
1. 가져오기 작업을 선택합니다.
+ 비대칭 및 HMAC 키의 경우 **키 구성 요소 가져오기**를 선택합니다.
+ 대칭 암호화 키에서 다음 중 하나를 선택합니다.
+ **초기 키 구성 요소 가져오기**(키 구성 요소를 아직 가져오지 않은 경우)
+ **새 키 구성 요소 가져오기**(교체할 새 구성 요소 추가)
+ **키 구성 요소 다시 가져오기**(키 구성 요소 테이블의 **작업** 메뉴에서 사용 가능)
**참고**
다중 리전 키의 경우 먼저 새 키 구성 요소를 기본 리전 키로 가져와야 합니다. 그런 다음 동일한 키 구성 요소를 각 복제본 리전 키로 가져옵니다.
기본 다중 리전 키의 경우 **키 자료** 테이블에는 모든 **복제본 리전의 가져오기 상태를 표시하는 복제본 가져오기 상태** 열이 포함되어 있습니다(예: "가져온 3개 중 0개"). 복제본 가져오기 상태 값을 선택하여 각 복제본 리전의 가져오기 상태를 보여주는 모달을 엽니다. 모달은 새 **키 구성 요소를 가져오**지 않은 복제본 리전에 대한 키 구성 요소 가져오기 링크를 제공합니다.
1. **래핑 키 사양 선택**에서 KMS 키의 구성을 선택합니다. 이 키를 생성한 후에는 키 사양을 변경할 수 없습니다.
1. [**Select wrapping algorithm**]에서 키 구성 요소 암호화에 사용할 옵션을 선택합니다. 옵션에 대한 자세한 내용은 [래핑 알고리즘 선택](#select-wrapping-algorithm)을 참조하십시오.
1. **래핑 퍼블릭 키 및 가져오기 토큰 다운로드**를 선택한 후 파일을 저장합니다.
**다음** 옵션이 있는 경우 지금 프로세스를 계속하려면 **다음**을 선택합니다. 나중에 계속하려면 **취소**를 선택합니다.
1. 앞 단계에 저장한 `.zip` 파일(`Import_Parameters__`)의 압축을 해제합니다.
폴더에는 다음 파일이 포함되어 있습니다.
+ `WrappingPublicKey.bin`이라는 이름의 파일에 있는 래핑 퍼블릭 키
+ `ImportToken.bin`이라는 이름의 파일에 있는 가져오기 토큰입니다.
+ README.txt라는 이름의 텍스트 파일입니다. 이 파일에는 래핑 퍼블릭 키, 키 구성 요소를 암호화하는 데 사용할 래핑 알고리즘, 래핑 퍼블릭 키와 가져오기 토큰이 만료되는 날짜와 시간에 대한 정보가 포함되어 있습니다.
1. 프로세스를 계속하려면 [키 구성 요소를 암호화](importing-keys-encrypt-key-material.md)를 참조하십시오.
## 래핑 퍼블릭 키 및 가져오기 토큰 다운로드(AWS KMS API)
[GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) API를 이용해 퍼블릭 키와 가져오기 토큰을 다운로드할 수 있습니다. 가져온 키 구성 요소와 연결될 KMS 키를 지정합니다. 이 KMS 키에는 `EXTERNAL`의 [오리진](create-keys.md#key-origin) 값이 있어야 합니다.
**참고**
ML-DSA KMS 키에는 키 구성 요소를 가져올 수 없습니다.
이 예시에서는 `RSA_AES_KEY_WRAP_SHA_256` 래핑 알고리즘, RSA\$13072 래핑 퍼블릭 키 사양, 예시 키 ID를 지정합니다. 이러한 예시 값을 다운로드에 사용할 수 있는 유효한 값으로 바꾸세요. 키 ID의 경우, 이 작업에 [키 ID](concepts.md#key-id-key-id)나 [키 ARN](concepts.md#key-id-key-ARN)을 사용할 수 있지만 [별칭 이름](concepts.md#key-id-alias-name)이나 [별칭 ARN](concepts.md#key-id-alias-ARN)은 사용할 수 없습니다.
```
$ aws kms get-parameters-for-import \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
--wrapping-key-spec RSA_3072
```
명령이 제대로 실행되면 다음과 비슷한 출력이 표시됩니다.
```
{
"ParametersValidTo": 1568290320.0,
"PublicKey": "public key (base64 encoded)",
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"ImportToken": "import token (base64 encoded)"
}
```
다음 단계를 위한 데이터를 준비하려면 퍼블릭 키와 가져오기 토큰을 base64로 디코딩하고 디코딩된 값을 파일에 저장합니다.
퍼블릭 키 및 가져오기 토큰을 base64로 디코딩하려면
1. base64로 인코딩된 퍼블릭 키(예제 출력에 *퍼블릭 키(base64로 인코딩됨)*로 표시됨)를 복사하여 새 파일에 붙여넣은 후 파일을 저장합니다. `PublicKey.b64`와 같은 파일을 설명하는 이름을 지정합니다.
1. [OpenSSL](https://openssl.org/)을 이용해 파일의 콘텐츠를 base64로 디코딩하고 디코딩된 데이터를 새 파일에 저장합니다. 다음 예제는 앞의 단계에서 저장한 파일(`PublicKey.b64`)의 데이터를 디코딩하고 출력을 `WrappingPublicKey.bin`이라는 새 파일에 저장합니다.
```
$ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
```
1. base64로 인코딩된 가져오기 토큰(예제 출력에 *가져오기 토큰(base64로 인코딩됨)*로 표시됨)을 복사하여 새 파일에 붙여넣은 후 파일을 저장합니다. `importtoken.b64`처럼 파일을 설명하는 이름을 지정합니다.
1. [OpenSSL](https://openssl.org/)을 이용해 파일의 콘텐츠를 base64로 디코딩하고 디코딩된 데이터를 새 파일에 저장합니다. 다음 예제는 앞의 단계에서 저장한 파일(`ImportToken.b64`)의 데이터를 디코딩하고 출력을 `ImportToken.bin`이라는 새 파일에 저장합니다.
```
$ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
```
[3단계: 키 구성 요소 암호화](importing-keys-encrypt-key-material.md)로 이동합니다.