티스토리 뷰
AWS KMS
KMS는 크게 3가지 방식으로 key 관리 서비스를 제공한다.
- AWS managed key AWS managed key는 AWS 서비스들이 KMS를 통해 key를 서비스받는 것으로, AWS 자체적으로 동작하기 때문에 직접 제어가 불가능하다. 예) Amazon RDS 데이터베이스 생성 시 KMS key를 사용하여 암호화 적용(블록 단위 암호화)
- Customer managed key Customer managed key (CMK)는 직접 key를 생성하고 관리하는 것으로, 본 포스팅의 주된 내용이다.
- Custom key stores Custom key stores는 AWS에서 제공하는 또 다른 key 관리형 서비스인 CloudHSM을 활용한 key 관리 형태를 의미한다.
자세한 동작 방식은 공식 사이트를 확인하자.
https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/concepts.html
AWS KMS 개념 - AWS Key Management Service
AWS KMS에서는 고객 마스터 키(CMK)라는 용어가 AWS KMS key와 KMS 키로 바뀌었습니다. 단, 개념은 바뀌지 않았습니다. 호환성에 영향을 미치는 변경 사항이 발생하지 않도록 AWS KMS에서는 이 용어의 일
docs.aws.amazon.com
개념적으로 이해했으면 코딩을 통해 기능을 만들어 보자.
1. AWS KMS 메뉴를 통해 Customer managed keys를 생성한다.
2. pom.xml
<dependency>
<groupId>com.amazonaws</groupId>
<artifactId>aws-java-sdk</artifactId>
<version>1.12.192</version>
</dependency>
<dependency>
<groupId>com.amazonaws</groupId>
<artifactId>aws-encryption-sdk-java</artifactId>
<version>2.3.0</version>
</dependency>3. 아래는 KMS(CMK)를 이용해 데이터를 암복호화하는 Java 예제이다.
import java.nio.ByteBuffer;
import java.nio.charset.StandardCharsets;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.kms.AWSKMS;
import com.amazonaws.services.kms.AWSKMSClientBuilder;
import com.amazonaws.services.kms.model.DecryptRequest;
import com.amazonaws.services.kms.model.EncryptRequest;
import com.amazonaws.services.kms.model.EncryptResult;
import com.amazonaws.services.kms.model.EncryptionAlgorithmSpec;
import org.apache.commons.codec.binary.Base64;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import lombok.extern.slf4j.Slf4j;
@Slf4j
@Component
public class AWSCipher {
private static String keyId;
@Value("${cipher.aws-key-id}")
private void setPrvKeyValue(String key) {
keyId = key;
}
/**
* 암호화
*
* @param plaintext
* @return
*/
public static String encrypt(String plaintext) {
if (null == plaintext) {
return null;
} else if ("".equals(plaintext)) {
return "";
}
try {
AWSKMS kmsClient = AWSKMSClientBuilder.standard().withRegion(Regions.AP_NORTHEAST_2).build();
EncryptRequest request = new EncryptRequest();
request.withKeyId(keyId);
request.withPlaintext(ByteBuffer.wrap(plaintext.getBytes(StandardCharsets.UTF_8)));
request.withEncryptionAlgorithm(EncryptionAlgorithmSpec.RSAES_OAEP_SHA_256);
EncryptResult result = kmsClient.encrypt(request);
ByteBuffer ciphertextBlob = result.getCiphertextBlob();
return new String(Base64.encodeBase64(ciphertextBlob.array()));
} catch (RuntimeException e) {
log.error("Encrypt Error");
}
return plaintext;
}
/**
* 복호화
*
* @param encryptText
* @return
*/
public static String decrypt(String encryptText) {
if (null == encryptText) {
return null;
} else if ("".equals(encryptText)) {
return "";
}
try {
AWSKMS kmsClient = AWSKMSClientBuilder.standard().withRegion(Regions.AP_NORTHEAST_2).build();
DecryptRequest request = new DecryptRequest();
request.withKeyId(keyId);
request.withEncryptionAlgorithm(EncryptionAlgorithmSpec.RSAES_OAEP_SHA_256);
request.withCiphertextBlob(ByteBuffer.wrap(Base64.decodeBase64(encryptText)));
ByteBuffer plaintext = kmsClient.decrypt(request).getPlaintext();
return new String(plaintext.array());
} catch (RuntimeException e) {
log.error("Decrypt Error");
}
return encryptText;
}
}
// 암호화
AWSCipher.encrypt("01022223333");
// 복호화
AWSCipher.decrypt("di4727X18S/p/X9D1swU+Mc/rgxApDPIgwM1G6boSm47Ylg7CrQhmz4ltMxKq4kJpnWtUZFXq2ywaXqKOBgUUUBCqz0zj/UAwyhw0b8ZpRtQzVZ9hmq09dEFjhHkht02SPyT6hZALMYLVE7lczpuZpWodOclVJr3GKz9yNHiss2Zn6z1qkJIkU3fjkLTMxw6C9lD94WggStIuwJ7i8cXIkFZBxHf1ZNB5jOiAYp2jLzZsUbjIAD4P6cbZrYl2igNEkXV+X3W9o/sqKYKS7gbvmginqQt3pbNEjpusDEuTYuwvQiqPNWWBTlKD/t/dNxftDfDjMtU1q7/wzDlLTsmrFtrFcjvDSyzNIhZ6v7HOKsIf3d2CXSX+XrqQmTFI/HDJDuuvaOivmzZ/4+cBbV5D1qNPvUIKHET6HdrQKiFqCN0D10fx6i3v3DjN9IzVh4DJZRiTrjcX/S5l270cSduzG6Udn48gn4tMrs/gqqBDmBApgKPVVlBp+Lb8wEVVrg93PBZCJeODvn5GbTWbrBau0cQn3Ouwo7vXLbIqwzlzcDex21Oz/snjcLLGxaNhxnFAZBN4zx3DBtf+dUgUFmOTWlx7MJ7SrUf0DNTPajPIES8b6b7sMQvhoDtuuUcd1hmtIRiDsrigL5IOAImeQRAZEcEpHorbHyeqG/upDwpjzQ=");
다음 포스팅에는 AWSCipher 암복호화 로직을 Mybatis typehandler를 사용하여 DML문에서 암복호화하는 방법을 소개하겠습니다.
'프로그래밍 > AWS' 카테고리의 다른 글
| [AWS] AWS S3 PreSignedURL(미리 서명된URL) (0) | 2022.08.01 |
|---|---|
| [AWS] AWS SSM(Session Manager) SSH 터널링 (0) | 2022.07.18 |
| [AWS] AWS S3 파일 업로드 (0) | 2022.07.13 |
| [AWS] RDS 시간 설정(Timezone) (0) | 2022.06.16 |
| [AWS] 윈도우 AWS CLI 구성에서 kubectl 접속까지 (0) | 2020.05.21 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
링크
TAG
- spring
- Eclipse
- Maven
- 리액트
- 제주도 3박4일 일정
- 경력관리
- 개발환경
- 회고
- 정렬 알고리즘
- 성능분석
- 오라클 내장 함수
- 오라클
- Linux 명령어
- React
- Tomcat
- 프로그래머
- 리눅스 명령어
- Collection
- sort algorithm
- effective java
- 소프트웨어공학
- 자바
- 프로그래머스
- javascript
- Java
- 리액트 16
- SQL
- 이직
- 자바스크립트
- 제주도 여행
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함
