개요 보호된 작업 사전 조건 MPA 활성화 및 비활성화 시작하기 예: MPA가 활성화된 루트 인증서 가져오기 AWS CloudTrail MPA 이벤트에 대한 로깅 요청 상태 확인 및 실패 처리

AWS Payment Cryptography에 대한 다자간 승인

AWS Payment Cryptography는 Amazon Web Services Organizations의 기능인 다자간 승인(MPA)과 통합되어 분산 승인 프로세스를 통해 중요한 작업을 보호합니다. MPA를 사용하면 신뢰할 수 있는 여러 개인이 특정 AWS Payment Cryptography 작업을 수행하기 전에 승인하도록 요구할 수 있습니다.

개요

다자간 승인은 작업을 진행하기 전에 신뢰할 수 있는 개인 그룹의 승인을 요구하여 민감한 AWS Payment Cryptography 작업에 보안 계층을 추가합니다. 이렇게 하면 단일 자격 증명 세트가 손상된 경우 무단 변경으로부터 보호하고 단일 개인이 일방적으로 변경하는 것을 방지할 수 있습니다.

승인 팀은 보호된 작업 요청을 승인하거나 거부하도록 지정한 조직 내 승인자 그룹입니다. 승인 프로세스는 전적으로 조직의 승인자가 관리합니다. 요청 승인 또는 거부에는 어떤 AWS 직원도 관여하지 않습니다.

보호된 작업에 대해 MPA가 활성화되면 다음이 발생합니다.

요청자가 보호된 작업을 시작합니다.
MPA는 승인 세션을 생성하고 승인 팀원에게 알립니다.
승인 팀원은 MPA 포털을 통해 요청을 검토하고 승인 또는 거부합니다.
필요한 최소 승인 임계값에 도달하면 작업이 진행됩니다. 승인 팀이 요청을 거부하거나 승인 임계값에 도달하기 전에 허용된 세션 시간이 만료되면 작업이 수행되지 않습니다. 두 경우 모두 요청자는 작업을 재시도하기 위해 새 요청을 제출해야 합니다.

참고

MPA가 활성화된 루트 CA 인증서를 가져올 때 RequesterComment 파라미터는 필수입니다. 이 설명은 승인 팀에 전송된 승인 알림에 포함되어 요청에 대한 컨텍스트를 제공합니다.

보호된 작업

AWS Payment Cryptography는 다음 작업에 대해 MPA를 지원합니다.

ImportKey RootCertificatePublicKey 키 구성 요소 사용 - 루트 퍼블릭 키 인증서를 가져오는 것은 중요한 작업입니다. 루트 인증서는 TR-34와 같은 비대칭 키 교환을 사용하여 이후의 모든 키 가져오기 및 내보내기에 대한 트러스트 앵커를 설정하기 때문입니다. 이 작업에 대한 다자간 승인을 요구하면 단일 개인이 AWS Payment Cryptography 키에 대한 신뢰 루트를 일방적으로 설정하거나 변경할 수 없도록 하는 데 도움이 됩니다.

사전 조건

AWS Payment Cryptography에서 MPA를 사용하려면 먼저 다음 사전 조건을 완료해야 합니다.

Amazon Web Services Organizations 환경에서 MPA를 설정합니다. 지침은 다자간 승인이란 무엇입니까?를 참조하세요. 다자간 승인 사용 설명서의 .
필수 승인자가 있는 승인 팀을 하나 이상 생성합니다.
를 사용하여 AWS Payment Cryptography 키 AWS 계정 가 포함된와 승인 팀을 공유합니다 AWS Resource Access Manager.
조직의 관리 계정을 다자간 승인에 옵트인해야 합니다.

MPA 활성화 및 비활성화

승인 팀을 설정한 후 팀을 계정과 연결하여 AWS Payment Cryptography용 MPA를 활성화할 수 있습니다. 연결을 해제하려면 현재 연결된 승인 팀의 승인이 필요하지만 팀을 연결 해제하여 MPA를 비활성화할 수도 있습니다.

MPA 활성화

AssociateMpaTeam API 작업 또는 associate-mpa-team CLI 명령을 사용하여 승인 팀을 AWS Payment Cryptography 계정과 연결합니다. 일단 연결되면 보호된 작업을 진행하기 전에 팀의 승인이 필요합니다.


aws payment-cryptography associate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team

MPA 비활성화

DisassociateMpaTeam API 작업 또는 disassociate-mpa-team CLI 명령을 사용하여 승인 팀 연결을 제거합니다. 팀을 연결 해제하는 것은 그 자체로 현재 연결된 승인 팀의 승인이 필요한 보호 작업입니다.


aws payment-cryptography disassociate-mpa-team \
    --team-arn arn:aws:mpa:us-east-1:111122223333:team/my-approval-team

중요

MPA를 비활성화하려면 현재 연결된 승인 팀의 승인이 필요합니다. 이렇게 하면 단일 개인이 다자간 승인 보호를 일방적으로 제거할 수 없습니다.

참고

--requester-comment 파라미터는 associate-mpa-team 및의 경우 선택 사항입니다disassociate-mpa-team.

시작하기

AWS Payment Cryptography용 MPA를 시작하려면 승인 팀을 생성하고, 승인 정책을 구성하고, 승인 세션을 관리하는 방법을 포함한 자세한 설정 지침은 다자간 승인 사용 설명서를 참조하세요.

예: MPA가 활성화된 루트 인증서 가져오기

MPA가 활성화되고 승인 팀이에 대한 ImportKey 작업과 연결되면 RootCertificatePublicKey가져오기 요청을 진행하기 전에 승인이 필요합니다.

요청자가를 호출import-key하여 루트 퍼블릭 키 인증서를 가져옵니다. 이 명령을 사용하려면 예제 명령의 기울임꼴 자리 표시자 텍스트를 자신의 정보로 바꿉니다.


aws payment-cryptography import-key \
    --key-material='{"RootCertificatePublicKey": {
    "KeyAttributes": {
        "KeyAlgorithm": "RSA_4096",
        "KeyClass": "PUBLIC_KEY",
        "KeyModesOfUse": {"Verify": true},
        "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE"
    },
    "PublicKeyCertificate": "LS0tLS1CRUdJTi..."}}' \
    --requester-comment "Importing new root CA certificate for TR-34 key exchange with partner XYZ"

응답은가 로 KeyState 설정된 키를 반환하여 요청이 승인을 기다리고 CREATE_IN_PROGRESS있음을 나타냅니다. 응답에는 승인 세션에 대한 세부 정보가 MpaStatus 포함됩니다.


{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

MPA가 활성화되어 있으므로 요청이 즉시 완료되지 않습니다. 대신 AWS Payment Cryptography는 승인 세션을 생성하고 승인이 보류 중임을 나타내는 응답을 반환합니다.
승인 팀원은 알림을 받고 MPA 포털을 통해 요청을 검토합니다. 필요한 수의 승인자가 요청을 승인하면 가져오기 작업이 진행되고 루트 인증서를 가져옵니다.

AWS CloudTrail MPA 이벤트에 대한 로깅

MPA가 활성화되면 승인 세션이 완료될 AWS CloudTrail 때 AWS Payment Cryptography가 서비스 이벤트를에 기록합니다. 이러한 이벤트는 요청의 승인 또는 실패 여부를 포함하여 승인 프로세스의 결과를 기록합니다. 이러한 로그를 사용하여 MPA 활동을 감사하고 보호된 작업의 상태를 추적할 수 있습니다.

MPA 관련 CloudTrail 이벤트에는의 serviceEventDetails다음 필드가 포함됩니다.

keyArn - 작업의 영향을 받는 키의 ARN입니다.
operation - 요청된 보호된 작업입니다.
mpaSessionArn - MPA 승인 세션의 ARN입니다.
sessionStatus - 승인 세션의 결과입니다(APPROVED 또는 FAILED).

승인된 요청

다음 예제는 MPA 팀이 승인한 ImportKey 요청에 대한 CloudTrail 이벤트를 보여줍니다.


{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:49:51Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/spa2dclzmsihlj4o",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e",
        "sessionStatus": "APPROVED"
    }
}

실패한 요청

다음 예제는 거부되거나 시간 초과된 ImportKey 요청에 대한 CloudTrail 이벤트를 보여줍니다.


{
    "eventVersion": "1.11",
    "eventTime": "2026-04-28T18:50:35Z",
    "eventName": "ImportKey",
    "eventSource": "payment-cryptography.amazonaws.com",
    "eventType": "AwsServiceEvent",
    "eventCategory": "Management",
    "awsRegion": "us-east-1",
    "readOnly": false,
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "payment-cryptography.amazonaws.com"
    },
    "resources": [
        {
            "ARN": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
            "accountId": "111122223333",
            "type": "AWS::PaymentCryptography::Key"
        }
    ],
    "serviceEventDetails": {
        "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/qj46ku4qimypxdo7",
        "operation": "ImportKey",
        "mpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2",
        "sessionStatus": "FAILED"
    }
}

에 대한 자세한 내용은 AWS CloudTrail 사용 설명서를 AWS CloudTrail참조하세요.

요청 상태 확인 및 실패 처리

를 호출하여 보류 중인 MPA 요청의 상태를 확인할 수 있습니다GetKey. 응답에는 현재 승인 세션 세부 정보가 포함된 MpaStatus 필드가 포함됩니다. 이 명령을 사용하려면 예제 명령의 기울임꼴 자리 표시자 텍스트를 자신의 정보로 바꿉니다.


aws payment-cryptography get-key \
    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h

요청이 승인 보류 중인 동안 응답은 KeyState CREATE_IN_PROGRESS 및 MpaStatus.Status로 표시됩니다PENDING.


{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_IN_PROGRESS",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "PENDING",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

필요한 수의 승인자가 요청을 승인하면가 로 KeyState 이동CREATE_COMPLETE하고 로 MpaStatus.Status 이동합니다APPROVED. 이제 키를 사용할 준비가 되었습니다.


{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_COMPLETE",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "APPROVED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00"
        }
    }
}

승인 팀이 요청을 거부하거나 승인 임계값이 충족되기 전에 세션이 만료되면가 로 KeyState 변경CREATE_FAILED되고가 로 MpaStatus.Status 변경됩니다FAILED.


{
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
            "KeyClass": "PUBLIC_KEY",
            "KeyAlgorithm": "RSA_4096"
        },
        "Enabled": true,
        "KeyState": "CREATE_FAILED",
        "KeyOrigin": "EXTERNAL",
        "CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
        "UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
        "MpaStatus": {
            "MpaSessionArn": "arn:aws:mpa:us-east-1:111122223333:session/abc123def456",
            "Status": "FAILED",
            "InitiationDate": "2026-04-27T10:15:30.000000+00:00",
            "StatusMessage": "Approval session expired or was denied"
        }
    }
}

CREATE_FAILED 상태의 키는 암호화 작업에 사용할 수 없습니다. 가져오기를 다시 시도하려면 새 ImportKey 요청을 제출해야 합니다. 그러면 새 승인 세션이 생성됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

리소스 기반 정책

문제 해결