기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 고객 작업
<a name="cryptographic-details-customerops"></a>

 AWS Payment Cryptography는 PCI 표준에 따른 HSM 물리적 규정 준수에 대한 모든 책임이 있습니다. 또한이 서비스는 보안 키 스토어를 제공하며 키가 PCI 표준에서 허용하고 생성 또는 가져오는 동안 사용자가 지정한 용도로만 사용될 수 있도록 합니다. 서비스의 보안 및 규정 준수 기능을 활용하기 위한 주요 속성 및 액세스 권한을 구성하는 것은 사용자의 책임입니다.

**Topics**
+ [키 생성](#w2aac39c25b7)
+ [키 가져오기](#w2aac39c25b9)
+ [키 내보내기](#w2aac39c25c11)
+ [키 삭제](#w2aac39c25c13)
+ [키 교체 중](#w2aac39c25c15)

## 키 생성
<a name="w2aac39c25b7"></a>

키를 생성할 때 서비스가 규정을 준수하여 키를 사용하도록 강제하는 데 사용하는 속성을 설정합니다.
+ 알고리즘 및 키 길이 
+ 사용법 
+ 가용성 및 만료 

ABAC(속성 기반 액세스 제어)에 사용되는 태그를 사용하여 특정 파트너나 애플리케이션에서 사용할 수 있도록 키를 제한하는 데 사용되는 태그도 생성 중에 설정해야 합니다. 태그를 삭제하거나 변경할 수 있는 역할을 제한하는 정책을 포함해야 합니다.

키를 생성하기 전에 키를 사용하고 관리할 수 있는 역할을 결정하는 정책을 설정해야 합니다.

**참고**  
CreateKey 명령의 IAM 정책을 사용하여 키 생성에 대한 이중 제어를 적용하고 시연할 수 있습니다.

## 키 가져오기
<a name="w2aac39c25b9"></a>

키를 가져올 때 키 블록에 암호적으로 바인딩된 정보를 사용하여 서비스에서 키 사용의 규정 준수를 강제하는 속성을 설정합니다. 기본 키 컨텍스트를 설정하는 메커니즘은 소스 HSM으로 생성되고 공유 또는 비대칭 [KEK](terminology.md#terms.kek)로 보호되는 키 블록을 사용하는 것입니다. 이는 PCI PIN 요구 사항에 부합하며 소스 애플리케이션의 사용량, 알고리즘 및 키 강도를 보존합니다.

가져올 때 키 블록의 정보 외에도 중요한 주요 속성, 태그 및 액세스 제어 정책을 설정해야 합니다.

 암호화를 사용하여 키를 가져오는 경우 소스 애플리케이션의 주요 속성이 전송되지 않습니다. 이 메커니즘을 사용하여 속성을 적절하게 설정해야 합니다.

 키 관리자가 전송하는 일반 텍스트 구성 요소를 사용하여 키를 교환한 다음 보안실에서 이중 제어를 구현하는 과정을 통해 키를 로드하는 경우가 많습니다. AWS Payment Cryptography에서는 직접 지원되지 않습니다. API는 자체 HSM에서 가져올 수 있는 인증서와 함께 퍼블릭 키를 내보내 서비스에서 가져올 수 있는 키 블록을 내보냅니다. 이를 통해 자체 HSM을 사용하여 일반 텍스트 구성 요소를 로드할 수 있습니다.

키 검사 값(KCV)을 사용하여 가져온 키가 소스 키와 일치하는지 확인해야 합니다.

ImportKey API의 IAM 정책을 사용하여 키 가져오기에 대한 이중 제어를 시행하고 시연할 수 있습니다.

## 키 내보내기
<a name="w2aac39c25c11"></a>

파트너 또는 온프레미스 애플리케이션과 키를 공유하려면 키를 내보내야 할 수 있습니다. 내보내기에 키 블록을 사용하면 암호화된 키 구성 요소와 함께 기본적인 키 컨텍스트를 유지할 수 있습니다.

키 태그를 사용하여 동일한 태그와 값을 공유하는 키를 KEK로 내보내도록 제한할 수 있습니다.

 AWS Payment Cryptography는 일반 텍스트 키 구성 요소를 제공하거나 표시하지 않습니다. 이를 위해서는 키 관리자가 PCI PTS HSM 또는 ISO 13491 테스트를 거친 보안 암호화 디바이스(SCD)에 직접 액세스하여 표시하거나 인쇄해야 합니다. SCD에 비대칭 KEK 또는 대칭 KEK를 설정하여 이중 제어 하에 일반 텍스트 키 구성 요소 생성 과정을 수행할 수 있습니다.

대상 HSM에서 가져온 항목이 소스 키와 일치하는지 확인하려면 키 검사 값(KCV)을 사용해야 합니다.

## 키 삭제
<a name="w2aac39c25c13"></a>

키 삭제 API를 사용하여 구성한 기간이 지난 후 키가 삭제되도록 스케줄을 지정할 수 있습니다. 그 전에는 키를 복구할 수 있습니다. 키가 삭제되면 서비스에서 영구적으로 제거됩니다.

DeleteKey API의 IAM 정책을 사용하여 키 삭제에 대한 이중 제어를 적용하고 시연할 수 있습니다.

## 키 교체 중
<a name="w2aac39c25c15"></a>

 키 별칭을 사용하여 새 키를 생성하거나 가져온 다음 새 키를 참조하도록 키 별칭을 수정하여 키 교체의 효과를 구현할 수 있습니다. 이전 키는 관리 방식에 따라 삭제되거나 비활성화될 수 있습니다.