외부 키 저장소 연결 해제 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

외부 키 저장소 연결 해제

VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어를 외부 키 스토어 프록시에서 연결 해제하면 AWS KMS는 VPC 엔드포인트 서비스에 대한 인터페이스 엔드포인트를 삭제하고 연결을 지원하기 위해 생성한 네트워크 인프라를 제거합니다. 퍼블릭 엔드포인트 연결이 있는 외부 키 스토어에는 동등한 프로세스가 필요하지 않습니다. 이 작업은 VPC 엔드포인트 서비스 또는 지원 구성 요소에 영향을 주지 않으며 외부 키 스토어 프록시 또는 외부 구성 요소에도 영향을 주지 않습니다.

외부 키 스토어가 연결 해제된 동안 AWS KMS는 외부 키 스토어 프록시로 요청을 전송하지 않습니다. 외부 키 스토어의 연결 상태는 DISCONNECTED입니다. 연결 해제된 외부 키 스토어의 KMS 키는 UNAVAILABLE 키 상태(삭제 보류 중이 아닌 경우)이므로 암호화 작업에 사용할 수 없습니다. 그러나 외부 키 스토어와 기존 KMS 키를 계속 보고 관리할 수 있습니다.

연결 해제된 상태는 일시적이고 되돌릴 수 있도록 설계되었습니다. 언제든지 외부 키 스토어를 다시 연결할 수 있습니다. 일반적으로 재구성이 필요하지 않습니다. 그러나 연결 해제된 동안 연결된 외부 키 스토어 프록시의 속성이 변경된 경우(예: 프록시 인증 자격 증명의 교체) 다시 연결하기 전에 외부 키 스토어 설정을 편집해야 합니다.

참고

사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.

외부 키 스토어의 연결 해제가 미치는 영향을 정확하게 예측하려면 외부 키 스토어에서 KMS 키를 식별하고 과거 사용량을 판단합니다.

다음과 같은 이유로 외부 키 스토어를 연결 해제할 수 있습니다.

  • 속성을 편집하기 위해. 외부 키 스토어가 연결되어 있는 동안 사용자 지정 키 스토어 이름, 프록시 URI 경로 및 프록시 인증 자격 증명을 편집할 수 있습니다. 그러나 프록시 연결 유형, 프록시 URI 엔드포인트 또는 VPC 엔드포인트 서비스 이름을 편집하려면 먼저 외부 키 스토어를 연결 해제해야 합니다. 세부 정보는 외부 키 저장소 속성 편집을 참조하세요.

  • AWS KMS와 외부 키 스토어 프록시 간의 모든 통신을 중지하기 위해. 엔드포인트 또는 VPC 엔드포인트 서비스를 비활성화하여 AWS KMS와 프록시 간의 통신을 중지할 수도 있습니다. 또한 외부 키 스토어 프록시 또는 키 관리 소프트웨어는 AWS KMS가 프록시와 통신하지 못하도록 하거나 프록시가 외부 키 관리자에 액세스하지 못하도록 하는 추가 메커니즘을 제공할 수 있습니다.

  • 외부 키 스토어에서 모든 KMS 키를 비활성화하기 위해. AWS KMS 콘솔 또는 DisableKey 작업을 사용하여 외부 키 스토어에서 KMS 키를 KMS 키를 비활성화하고 다시 활성화할 수 있습니다. 이러한 작업은 빠르게 완료되지만(최종 일관성에 따라 다름) 한 번에 하나의 KMS 키에 대해 작동합니다. 외부 키 스토어를 연결 해제하면 외부 키 스토어에서 모든 KMS 키의 키 상태가 Unavailable로 변경되면서 암호화 작업에서 사용이 불가능한 상태가 됩니다.

  • 실패한 연결 시도를 복구하려면. 외부 키 스토어를 연결하려는 시도가 실패하면(사용자 지정 키 스토어의 연결 상태가 FAILED) 다시 연결을 시도하기에 앞서 외부 키 스토어를 연결 해제해야 합니다.

외부 키 저장소 연결 해제

AWS KMS 콘솔 또는 DisconnectCustomKeyStore 작업을 사용하여 외부 키 저장소를 연결 해제할 수 있습니다.

AWS KMS 콘솔을 사용하여 외부 키 스토어를 해당 외부 키 스토어 프록시에 연결할 수 있습니다. 이 프로세스를 완료하는 데 5분가량 소요됩니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 Custom key stores(사용자 지정 키 스토어), External key stores(외부 키 스토어)를 선택합니다.

  4. 연결 해제하려는 외부 키 스토어의 행을 선택합니다.

  5. Key store actions(키 스토어 작업) 메뉴에서 Disconnect(연결 해제)를 선택합니다.

작업이 완료되면 연결 상태가 DISCONNECTING(연결 해제 중)에서 DISCONNECTED(연결 해제됨)로 변경됩니다. 작업이 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 외부 키 스토어 연결 오류 섹션을 참조하십시오.

연결된 외부 키 스토어를 연결 해제하려면 DisconnectCustomKeyStore 작업을 사용합니다. 작업이 성공하지 않으면 AWS KMS가 HTTP 200 응답 및 속성을 포함하지 않는 JSON 객체를 반환합니다. 이 프로세스를 완료하는 데 5분가량 소요됩니다. 외부 키 스토어의 연결 상태를 확인하려면 DescribeCustomKeyStores 작업을 사용합니다.

이 섹션의 예제는 AWS Command Line Interface(AWS CLI)를 사용하지만, 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

이 예제에서는 VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어를 연결 해제합니다. 이 예제를 실행하기 앞서 예제에 나온 사용자 지정 키 스토어 ID를 유효한 ID로 대체합니다.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

외부 키 스토어가 연결 해제되어 있는지 확인하려면 DescribeCustomKeyStores 작업을 사용합니다. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 응답을 제한할 수 있습니다. ConnectionState 값이 DISCONNECTED면 외부 키 스토어가 이 예제 외부 키 스토어 프록시에 더 이상 연결되어 있지 않은 것입니다.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }