기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
외부 키 저장소 연결 해제
VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어를 외부 키 스토어 프록시에서 연결 해제하면 AWS KMS는 VPC 엔드포인트 서비스에 대한 인터페이스 엔드포인트를 삭제하고 연결을 지원하기 위해 생성한 네트워크 인프라를 제거합니다. 퍼블릭 엔드포인트 연결이 있는 외부 키 스토어에는 동등한 프로세스가 필요하지 않습니다. 이 작업은 VPC 엔드포인트 서비스 또는 지원 구성 요소에 영향을 주지 않으며 외부 키 스토어 프록시 또는 외부 구성 요소에도 영향을 주지 않습니다.
외부 키 스토어가 연결 해제된 동안 AWS KMS는 외부 키 스토어 프록시로 요청을 전송하지 않습니다. 외부 키 스토어의 연결 상태는 DISCONNECTED
입니다. 연결 해제된 외부 키 스토어의 KMS 키는 UNAVAILABLE 키 상태(삭제 보류 중이 아닌 경우)이므로 암호화 작업에 사용할 수 없습니다. 그러나 외부 키 스토어와 기존 KMS 키를 계속 보고 관리할 수 있습니다.
연결 해제된 상태는 일시적이고 되돌릴 수 있도록 설계되었습니다. 언제든지 외부 키 스토어를 다시 연결할 수 있습니다. 일반적으로 재구성이 필요하지 않습니다. 그러나 연결 해제된 동안 연결된 외부 키 스토어 프록시의 속성이 변경된 경우(예: 프록시 인증 자격 증명의 교체) 다시 연결하기 전에 외부 키 스토어 설정을 편집해야 합니다.
참고
사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.
외부 키 스토어의 연결 해제가 미치는 영향을 정확하게 예측하려면 외부 키 스토어에서 KMS 키를 식별하고 과거 사용량을 판단합니다.
다음과 같은 이유로 외부 키 스토어를 연결 해제할 수 있습니다.
-
속성을 편집하기 위해. 외부 키 스토어가 연결되어 있는 동안 사용자 지정 키 스토어 이름, 프록시 URI 경로 및 프록시 인증 자격 증명을 편집할 수 있습니다. 그러나 프록시 연결 유형, 프록시 URI 엔드포인트 또는 VPC 엔드포인트 서비스 이름을 편집하려면 먼저 외부 키 스토어를 연결 해제해야 합니다. 세부 정보는 외부 키 저장소 속성 편집을 참조하세요.
-
AWS KMS와 외부 키 스토어 프록시 간의 모든 통신을 중지하기 위해. 엔드포인트 또는 VPC 엔드포인트 서비스를 비활성화하여 AWS KMS와 프록시 간의 통신을 중지할 수도 있습니다. 또한 외부 키 스토어 프록시 또는 키 관리 소프트웨어는 AWS KMS가 프록시와 통신하지 못하도록 하거나 프록시가 외부 키 관리자에 액세스하지 못하도록 하는 추가 메커니즘을 제공할 수 있습니다.
-
외부 키 스토어에서 모든 KMS 키를 비활성화하기 위해. AWS KMS 콘솔 또는 DisableKey 작업을 사용하여 외부 키 스토어에서 KMS 키를 KMS 키를 비활성화하고 다시 활성화할 수 있습니다. 이러한 작업은 빠르게 완료되지만(최종 일관성에 따라 다름) 한 번에 하나의 KMS 키에 대해 작동합니다. 외부 키 스토어를 연결 해제하면 외부 키 스토어에서 모든 KMS 키의 키 상태가
Unavailable
로 변경되면서 암호화 작업에서 사용이 불가능한 상태가 됩니다. -
실패한 연결 시도를 복구하려면. 외부 키 스토어를 연결하려는 시도가 실패하면(사용자 지정 키 스토어의 연결 상태가
FAILED
) 다시 연결을 시도하기에 앞서 외부 키 스토어를 연결 해제해야 합니다.
외부 키 저장소 연결 해제
AWS KMS 콘솔 또는 DisconnectCustomKeyStore 작업을 사용하여 외부 키 저장소를 연결 해제할 수 있습니다.
AWS KMS 콘솔을 사용하여 외부 키 스토어를 해당 외부 키 스토어 프록시에 연결할 수 있습니다. 이 프로세스를 완료하는 데 5분가량 소요됩니다.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
탐색 창에서 Custom key stores(사용자 지정 키 스토어), External key stores(외부 키 스토어)를 선택합니다.
-
연결 해제하려는 외부 키 스토어의 행을 선택합니다.
-
Key store actions(키 스토어 작업) 메뉴에서 Disconnect(연결 해제)를 선택합니다.
작업이 완료되면 연결 상태가 DISCONNECTING(연결 해제 중)에서 DISCONNECTED(연결 해제됨)로 변경됩니다. 작업이 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 외부 키 스토어 연결 오류 섹션을 참조하십시오.
연결된 외부 키 스토어를 연결 해제하려면 DisconnectCustomKeyStore 작업을 사용합니다. 작업이 성공하지 않으면 AWS KMS가 HTTP 200 응답 및 속성을 포함하지 않는 JSON 객체를 반환합니다. 이 프로세스를 완료하는 데 5분가량 소요됩니다. 외부 키 스토어의 연결 상태를 확인하려면 DescribeCustomKeyStores 작업을 사용합니다.
이 섹션의 예제는 AWS Command Line Interface(AWS CLI)
이 예제에서는 VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어를 연결 해제합니다. 이 예제를 실행하기 앞서 예제에 나온 사용자 지정 키 스토어 ID를 유효한 ID로 대체합니다.
$
aws kms disconnect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
외부 키 스토어가 연결 해제되어 있는지 확인하려면 DescribeCustomKeyStores 작업을 사용합니다. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId
또는 CustomKeyStoreName
파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 응답을 제한할 수 있습니다. ConnectionState
값이 DISCONNECTED
면 외부 키 스토어가 이 예제 외부 키 스토어 프록시에 더 이상 연결되어 있지 않은 것입니다.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleXksVpc
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }