별칭 정보 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

별칭 정보

AWS KMS에서 별칭의 작동 방식을 알아봅니다.

별칭은 독립적인 AWS 리소스입니다.

별칭은 KMS 키의 속성이 아닙니다. 별칭에 대해 수행하는 작업은 연결된 KMS 키에 영향을 주지 않습니다. KMS 키의 별칭을 만든 다음 다른 KMS 키와 연결되도록 별칭을 업데이트할 수 있습니다. 연결된 KMS 키에 영향을 주지 않고 별칭을 삭제할 수도 있습니다. 그러나 KMS 키를 삭제하면 해당 KMS 키와 연결된 모든 별칭이 삭제됩니다.

IAM 정책에서 별칭을 리소스로 지정하는 경우 정책은 연결된 KMS 키가 아니라 별칭을 참조합니다.

각 별칭에는 두 가지 형식이 있습니다.

별칭을 생성할 때 별칭 이름을 지정합니다. AWS KMS가 별칭 ARN을 생성합니다.

  • 별칭 ARN은 별칭을 고유하게 식별하는 Amazon 리소스 이름(ARN)입니다.

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • 계정 및 리전에서 고유한 별칭 이름입니다. AWS KMS API에서 별칭 이름에는 항상 alias/ 접두사가 붙습니다. 해당 접두사는 AWS KMS 콘솔에서 생략됩니다.

    # Alias name
alias/<alias-name>
별칭은 비밀이 아닙니다.

별칭은 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다 CloudTrail . 별칭 이름에 기밀 또는 민감한 정보를 포함시키지 마십시오.

각 별칭은 한 번에 하나의 KMS 키와 연결됩니다.

별칭과 별칭의 KMS 키는 동일한 계정 및 리전에 있어야 합니다.

별칭을 동일한 AWS 계정 및 리전의 모든 고객 관리형 키와 연결할 수 있습니다. 그러나 별칭을 AWS 관리형 키와 연결할 수 있는 권한은 없습니다.

예를 들어, 이 ListAliases출력은 test-key 별칭이 속성으로 표시되는 정확히 하나의 대상 KMS 키와 연결되어 있음을 보여줍니다. TargetKeyId 

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
동일한 KMS 키와 여러 별칭을 연결할 수 있습니다.

예를 들어, test-keyproject-key 별칭을 동일한 KMS 키로 연결할 수 있습니다.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
별칭은 계정 및 리전 내에서 고유해야 합니다.

예를 들어, 각 계정 및 리전에서 오직 한 개의 test-key 별칭만 가질 수 있습니다. 별칭은 대소문자를 구분하지만 대소문자만 다른 별칭은 오류가 발생하기 쉽습니다. 별칭 이름은 변경할 수 없습니다. 그러나 별칭을 삭제하고 원하는 이름으로 새 별칭을 생성할 수 있습니다.

다른 리전에서 같은 이름으로 별칭을 만들 수 있습니다.

예를 들어, 미국 동부(버지니아 북부)에 finance-key 별칭이 있고 유럽(프랑크푸르트)에 finance-key 별칭이 있을 수 있습니다. 각 별칭은 해당 리전의 KMS 키와 연결됩니다. 코드가 alias/finance-key와 같은 별칭 이름을 참조하는 경우 여러 리전에서 실행할 수 있습니다. 각 리전에서는 다른 KMS 키를 사용합니다. 자세한 내용은 애플리케이션에서 별칭 사용 섹션을 참조하세요.

별칭과 연결된 KMS 키를 변경할 수 있습니다.

UpdateAlias작업을 사용하여 별칭을 다른 KMS 키와 연결할 수 있습니다. 예를 들어, finance-key 별칭이 1234abcd-12ab-34cd-56ef-1234567890ab KMS 키와 연결된 경우 0987dcba-09fe-87dc-65ba-ab0987654321 KMS 키와 연결되도록 업데이트할 수 있습니다.

그러나 현재 KMS 키와 새 KMS 키는 동일한 유형(모두 대칭, 모두 비대칭 또는 모두 HMAC)이어야 하며 키 사용(ENCRYPT_DECRYPT, SIGN_VERIFY 또는 GENERATE_VERIFY_MAC)이 동일해야 합니다. 이 제한은 별칭을 사용하는 코드의 오류를 방지합니다. 별칭을 다른 유형의 키와 연결해야 하고 위험을 완화한 경우 별칭을 삭제하고 다시 만들 수 있습니다.

일부 KMS 키에는 별칭이 없습니다.

AWS KMS 콘솔에서 KMS 키를 만들 때 새 별칭을 붙여야 합니다. 하지만 CreateKey작업을 사용하여 KMS 키를 생성할 때는 별칭이 필요하지 않습니다. 또한 UpdateAlias작업을 사용하여 별칭과 연결된 KMS 키를 변경하고 DeleteAlias작업을 사용하여 별칭을 삭제할 수 있습니다. 따라서 일부 KMS 키에는 별칭이 여러 개 있을 수 있으며 일부 키에는 별칭이 없을 수도 있습니다.

AWS는 계정에서 별칭을 생성합니다.

AWS는 AWS 관리형 키에 대한 계정에 별칭을 만듭니다. 이러한 별칭에는 alias/aws/<service-name> 형식의 이름(예: alias/aws/s3)이 있습니다.

일부 AWS 별칭에는 KMS 키가 없습니다. 이러한 미리 정의된 별칭은 일반적으로 서비스 사용을 시작할 때 AWS 관리형 키와 연결됩니다.

별칭을 사용하여 KMS 키 식별

별칭 이름 또는 별칭 ARN을 사용하여 암호화 작업, 및 에서 KMS 키를 식별할 수 있습니다. DescribeKeyGetPublicKey (KMS 키가 다른 AWS 계정에 있는 경우 해당 키 ARN 또는 별칭 ARN을 사용해야 합니다.) 별칭은 다른 AWS KMS 작업의 KMS 키에 대한 유효한 식별자가 아닙니다. 각 AWS KMS API 작업의 유효한 키 식별자에 대한 정보는 AWS Key Management Service API 참조에서 KeyId 파라미터에 대한 설명을 참조하세요.

별칭 이름이나 별칭 ARN을 사용하여 IAM 정책에서 KMS 키를 식별할 수 없습니다. 별칭을 기반으로 KMS 키에 대한 액세스를 제어하려면 kms: 또는 kms: 조건 키를 사용하십시오. RequestAlias ResourceAliases 자세한 내용은 AWS KMS의 ABAC 섹션을 참조하세요.