티스토리 뷰

프로그래밍/AWS

[AWS] AWS KMS(CMK) 암복호화

Reference M1 2022. 6. 15. 17:46

AWS KMS

KMS는 크게 3가지 방식으로 key 관리 서비스를 제공한다.

  • AWS managed key AWS managed key는  AWS 서비스들이 KMS를 통해 key를 서비스받는 것으로, AWS 자체적으로 동작하기 때문에 직접 제어가 불가능하다. 예) Amazon RDS 데이터베이스 생성 시 KMS key를 사용하여 암호화 적용(블록 단위 암호화)
  • Customer managed key Customer managed key (CMK)는 직접 key를 생성하고 관리하는 것으로, 본 포스팅의 주된 내용이다.
  • Custom key stores Custom key stores는 AWS에서 제공하는 또 다른 key 관리형 서비스인 CloudHSM을 활용한 key 관리 형태를 의미한다.

자세한 동작 방식은 공식 사이트를 확인하자.

https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/concepts.html

 

AWS KMS 개념 - AWS Key Management Service

AWS KMS에서는 고객 마스터 키(CMK)라는 용어가 AWS KMS key와 KMS 키로 바뀌었습니다. 단, 개념은 바뀌지 않았습니다. 호환성에 영향을 미치는 변경 사항이 발생하지 않도록 AWS KMS에서는 이 용어의 일

docs.aws.amazon.com

 

개념적으로 이해했으면 코딩을 통해 기능을 만들어 보자.

1. AWS KMS 메뉴를 통해 Customer managed keys를 생성한다.

 

2. pom.xml

<dependency>
	<groupId>com.amazonaws</groupId>
	<artifactId>aws-java-sdk</artifactId>
	<version>1.12.192</version>
</dependency>
<dependency>
	<groupId>com.amazonaws</groupId>
	<artifactId>aws-encryption-sdk-java</artifactId>
	<version>2.3.0</version>
</dependency>

3. 아래는 KMS(CMK)를 이용해 데이터를 암복호화하는 Java 예제이다.

import java.nio.ByteBuffer;
import java.nio.charset.StandardCharsets;

import com.amazonaws.regions.Regions;
import com.amazonaws.services.kms.AWSKMS;
import com.amazonaws.services.kms.AWSKMSClientBuilder;
import com.amazonaws.services.kms.model.DecryptRequest;
import com.amazonaws.services.kms.model.EncryptRequest;
import com.amazonaws.services.kms.model.EncryptResult;
import com.amazonaws.services.kms.model.EncryptionAlgorithmSpec;

import org.apache.commons.codec.binary.Base64;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import lombok.extern.slf4j.Slf4j;

@Slf4j
@Component
public class AWSCipher {

    private static String keyId;

    @Value("${cipher.aws-key-id}")
    private void setPrvKeyValue(String key) {
        keyId = key;
    }

    /**
     * 암호화
     * 
     * @param plaintext
     * @return
     */
    public static String encrypt(String plaintext) {

        if (null == plaintext) {
            return null;
        } else if ("".equals(plaintext)) {
            return "";
        }

        try {

            AWSKMS kmsClient = AWSKMSClientBuilder.standard().withRegion(Regions.AP_NORTHEAST_2).build();

            EncryptRequest request = new EncryptRequest();
            request.withKeyId(keyId);
            request.withPlaintext(ByteBuffer.wrap(plaintext.getBytes(StandardCharsets.UTF_8)));
            request.withEncryptionAlgorithm(EncryptionAlgorithmSpec.RSAES_OAEP_SHA_256);

            EncryptResult result = kmsClient.encrypt(request);
            ByteBuffer ciphertextBlob = result.getCiphertextBlob();

            return new String(Base64.encodeBase64(ciphertextBlob.array()));

        } catch (RuntimeException e) {
            log.error("Encrypt Error");
        }

        return plaintext;
    }

    /**
     * 복호화
     * 
     * @param encryptText
     * @return
     */
    public static String decrypt(String encryptText) {

        if (null == encryptText) {
            return null;
        } else if ("".equals(encryptText)) {
            return "";
        }

        try {

            AWSKMS kmsClient = AWSKMSClientBuilder.standard().withRegion(Regions.AP_NORTHEAST_2).build();

            DecryptRequest request = new DecryptRequest();
            request.withKeyId(keyId);
            request.withEncryptionAlgorithm(EncryptionAlgorithmSpec.RSAES_OAEP_SHA_256);
            request.withCiphertextBlob(ByteBuffer.wrap(Base64.decodeBase64(encryptText)));

            ByteBuffer plaintext = kmsClient.decrypt(request).getPlaintext();

            return new String(plaintext.array());

        } catch (RuntimeException e) {
            log.error("Decrypt Error");
        }

        return encryptText;
    }
}

 

// 암호화
AWSCipher.encrypt("01022223333");
// 복호화
AWSCipher.decrypt("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");

 

다음 포스팅에는 AWSCipher 암복호화 로직을 Mybatis typehandler를 사용하여 DML문에서 암복호화하는 방법을 소개하겠습니다.

'프로그래밍 > AWS' 카테고리의 다른 글

[AWS] AWS S3 PreSignedURL(미리 서명된URL)  (0) 2022.08.01
[AWS] AWS SSM(Session Manager) SSH 터널링  (0) 2022.07.18
[AWS] AWS S3 파일 업로드  (0) 2022.07.13
[AWS] RDS 시간 설정(Timezone)  (0) 2022.06.16
[AWS] 윈도우 AWS CLI 구성에서 kubectl 접속까지  (0) 2020.05.21
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
링크
TAG more
«   2025/04   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
글 보관함