별칭 관리 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

별칭 관리

권한이 부여된 사용자는 별칭을 생성하고 보고 삭제할 수 있습니다. 별칭을 업데이트하여 기존 별칭을 다른 CMK와 연결할 수도 있습니다.

별칭 생성

별칭을 생성할 수 있습니다.AWS KMS콘솔을 사용하거나AWS KMSAPI 작업

별칭은 1~256자의 문자열이어야 합니다. 여기에는 영숫자, 슬래시(/), 밑줄(_) 및 대시(-)만 포함할 수 있습니다. 에 대한 별칭 이름고객 관리형 CMK로 시작할 수 없음alias/aws/. 이alias/aws/접두사는AWS관리형 CMK.

새 CMK 또는 기존 CMK에 대한 별칭을 만들 수 있습니다. 특정 CMK가 프로젝트나 응용 프로그램에서 사용되도록 별칭을 추가할 수 있습니다.

별칭 만들기 (콘솔)

CMK를 생성합니다의AWS KMS콘솔에서 새 CMK에 대한 별칭을 생성해야 합니다. 기존 CMK에 대한 별칭을 생성하려면별칭탭은 CMK의 세부 정보 페이지에서 확인할 수 있습니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다. 에 대한 별칭을 관리할 수 없습니다.AWS관리형 CMK 또는AWS소유 CMK.

  4. 테이블에서 CMK의 키 ID 또는 별칭을 선택합니다. 그런 다음 CMK 세부 정보 페이지에서별칭탭을 사용합니다.

    CMK에 여러 별칭이 있는 경우별칭열에 하나의 별칭과 별칭 요약이 표시됩니다 (예:(+n추가 정보. 별칭 요약을 선택하면별칭탭을 클릭하여 CMK 세부 정보 페이지를 엽니다.

  5. 별칭탭에서별칭 만들기. 별칭 이름을 입력하고별칭 만들기.

    참고

    콘솔에서, 당신은 지정할 필요가 없습니다alias/접두사. 콘솔은 당신을 위해 그것을 추가합니다. 를 입력하면alias/ExampleAlias, 실제 별칭 이름은alias/alias/ExampleAlias.

별칭 만들기AWS KMSAPI)

별칭을 생성하려면 CreateAlias 작업을 사용합니다. 콘솔에서 CMK를 생성하는 프로세스와 달리CreateKey작업은 새 CMK에 대한 별칭을 만들지 않습니다.

CreateAlias별칭이 없는 새 CMK의 별칭을 생성하는 작업을 수행합니다. 또한 다음을 사용할 수 있습니다.CreateAlias작업을 사용하여 기존 CMK에 별칭을 추가하거나 실수로 삭제된 별칭을 다시 만들 수 있습니다.

에서AWS KMSAPI 작업에서 별칭 이름은 로 시작해야 합니다.alias/뒤에 이름이 와야 합니다 (예:)alias/ExampleAlias. 별칭은 계정 및 리전 내에서 고유해야 합니다. 이미 사용 중인 별칭 이름을 찾으려면ListAliases작업을 사용합니다. 별칭 이름은 대/소문자를 구분합니다.

TargetKeyId는 임의의 수 있습니다.고객 관리형 CMK동일한 AWS 리전 . CMK를 식별하려면키 ID또는키 ARN. 다른 별칭을 사용할 수 없습니다.

다음 예제에서는example-key별칭을 사용하여 지정된 CMK와 연결합니다. 이 예제에서는AWS Command Line Interface(AWS CLI). 다양한 프로그래밍 언어의 예는 별칭으로 작업 단원을 참조하십시오.

$ aws kms create-alias \ --alias-name alias/example-key \ --target-key-id 1234abcd-12ab-34cd-56ef-1234567890ab

CreateAlias출력을 반환하지 않습니다. 새 별칭을 보려면ListAliases작업을 사용합니다. 자세한 내용은 단원을 참조하십시오별칭 보기 (AWS KMSAPI)

별칭 보기

별칭을 사용하면 매니저에서 CMK를 쉽게 식별할 수 있습니다.AWS KMS콘솔을 사용합니다. CMK에 대한 별칭은AWS KMS콘솔을 사용하여 모니터링하거나ListAliases작업을 사용합니다. 이DescribeKey작업은 CMK의 속성을 반환하는 별칭을 포함하지 않습니다.

별칭 보기 (콘솔)

고객 관리형 키AWS관리형 키의 페이지AWS KMS콘솔에는 각 CMK와 연결된 별칭이 표시됩니다. 다음을 수행할 수도 있습니다.검색, 정렬 및 필터링별칭을 기반으로 CMK를 생성합니다.

다음 이미지는AWS KMS콘솔은 별칭을 보여 줍니다.고객 관리형 키페이지 예제 계정. 이미지에 표시된 것처럼 일부 CMK에는 별칭이 없습니다.

CMK에 여러 별칭이 있는 경우별칭열에는 하나의 별칭이 표시되고별칭 요약 (+n추가 정보. 별칭 요약에는 CMK와 연결된 추가 별칭의 수와 CMK에 대한 모든 별칭 표시에 대한 링크가 표시됩니다.별칭탭을 사용합니다.


          의 별칭고객 관리형 키의 페이지AWS KMS콘솔

별칭탭에는 계정에 있는 CMK에 대한 모든 별칭의 별칭 이름과 별칭 ARN 이 표시되며 AWS 리전 . 또한 다음을 사용할 수 있습니다.별칭탭을 사용하여별칭 만들기별칭 삭제.

CMK에 대한 모든 별칭의 별칭 이름과 별칭 ARN 찾으려면별칭탭을 사용합니다.

  • 직접 이동 하려면별칭탭의별칭열에서 별칭 요약 (+n추가). 별칭 요약은 CMK에 둘 이상의 별칭이 있는 경우에만 나타납니다.

  • 또는 CMK의 별칭 또는 키 ID (CMK에 대한 세부 정보 페이지가 열림) 를 선택한 다음별칭탭을 사용합니다. 탭 아래에 있는일반 구성섹션을 참조하십시오.

다음 이미지에서는별칭탭에서 CMK 예제를 참조하십시오.

별칭을 사용하여AWS이 예제와 같이 관리되는 CMKAWS관리형 키페이지로 이동합니다. 에 대한 별칭AWS관리되는 CMK의 형식은 항상 다음과 같습니다. aws/<service-name>. 예를 들어, 별칭은AWSAmazon DynamoDB 에 사용되는 관리형 CMK는aws/dynamodb.


          의 별칭AWS관리형 키의 페이지AWS KMS콘솔

별칭 보기 (AWS KMSAPI)

ListAliases작업은 계정 및 리전 내에서 별칭의 별칭 이름과 별칭 ARN 반환합니다. 출력에 대한 별칭이 포함됩니다.AWS고객 관리형 CMK 및 고객 관리형 CMK 에 대한 별칭AWS관리되는 CMK의 형식은aws/<service-name>(예:aws/dynamodb.

응답에는 TargetKeyId 필드가 없는 별칭도 포함될 수 있습니다. 이러한 별칭은 미리 정의된 별칭으로, AWS에서 생성했지만 아직 CMK와 연결되지 않은 별칭입니다.

$ aws kms list-aliases { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1516435200.399, "LastUpdatedDate": 1516435200.399 }, { "AliasName": "alias/ECC-P521-Sign", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ECC-P521-Sign", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1693622000.704, "LastUpdatedDate": 1693622000.704 }, { "AliasName": "alias/ImportedKey", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/ImportedKey", "TargetKeyId": "1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d", "CreationDate": 1493622000.704, "LastUpdatedDate": 1521097200.235 }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 }, { "AliasName": "alias/aws/dynamodb", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/dynamodb", "TargetKeyId": "0987ab65-43cd-21ef-09ab-87654321cdef", "CreationDate": 1521097200.454, "LastUpdatedDate": 1521097200.454 }, { "AliasName": "alias/aws/ebs", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/aws/ebs", "TargetKeyId": "abcd1234-09fe-ef90-09fe-ab0987654321", "CreationDate": 1466518990.200, "LastUpdatedDate": 1466518990.200 } ] }

특정 CMK와 연결된 모든 별칭을 가져오려면 옵션KeyId의 파라미터ListAliases작업을 사용합니다. 이KeyId매개 변수는키 ID또는키 ARNCMK의.

이 예제와 관련된 모든 별칭을 가져옵니다0987dcba-09fe-87dc-65ba-ab0987654321CMK를 사용합니다.

$ aws kms list-aliases --key-id 0987dcba-09fe-87dc-65ba-ab0987654321 { "Aliases": [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" }, { "AliasName": "alias/finance-project", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/finance-project", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1604958290.014, "LastUpdatedDate": 1604958290.014 } ] }

KeyId매개 변수는 와일드카드 문자를 사용하지 않지만 프로그래밍 언어의 기능을 사용하여 응답을 필터링할 수 있습니다.

예를 들어 다음과 같습니다.AWS CLI명령에 대한 별칭 만 가져옵니다.AWS관리형 CMK.

$ aws kms list-aliases --query 'Aliases[?starts_with(AliasName, `alias/aws/`)]'

다음 명령은access-key별칭. 별칭 이름은 대/소문자를 구분합니다.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/access-key`]' [ { "AliasName": "alias/access-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/access-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": "2018-01-20T15:23:10.194000-07:00", "LastUpdatedDate": "2018-01-20T15:23:10.194000-07:00" } ]

별칭 업데이트

별칭은 독립 리소스이므로 별칭과 연결된 CMK를 변경할 수 있습니다. 예를 들어test-key별칭이 하나의 CMK와 연결되어 있으면UpdateAlias작업을 사용하여 다른 CMK와 연결할 수 있습니다. 이것은 여러 가지 방법 중 하나입니다.CMK를 수동으로 회전키 재질을 변경하지 않고 새 리소스에 대해 하나의 CMK를 사용하고 있던 응용 프로그램이 이제 다른 CMK를 사용하도록 CMK를 업데이트할 수도 있습니다.

별칭을 업데이트할 수 없습니다.AWS KMS콘솔을 사용합니다. 또한 다음을 사용할 수 없습니다.UpdateAlias또는 다른 작업) 을 사용하여 별칭 이름을 변경합니다. 별칭 이름을 변경하려면 현재 별칭을 삭제한 후 CMK에 대해 새 별칭을 생성합니다.

별칭을 업데이트할 때는 현재 CMK와 새 CMK는 동일한 유형 (모두 대칭 또는 모두 비대칭) 이어야 합니다. 또한 동일한 키 사용도 있어야 합니다 (ENCRYPT_DECRYPT또는SIGN_VERIFY). 이 제한은 별칭을 사용하는 코드에서 암호화 오류를 방지합니다.

다음 예제에서는 사용 하 여 시작ListAliases작업을 실행하여test-key별칭이 현재 CMK와 연결되어 있습니다.1234abcd-12ab-34cd-56ef-1234567890ab.

$ aws kms list-aliases --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "Aliases": [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1593622000.191, "LastUpdatedDate": 1593622000.191 } ] }

다음으로, 그것은 사용UpdateAlias에 연결된 CMK를 변경하는 방법에 대한test-key별칭을 CMK로0987dcba-09fe-87dc-65ba-ab0987654321. 현재 연결된 CMK를 지정할 필요가 없으며 새 (“대상”) CMK 만 지정할 수 있습니다. 별칭 이름은 대/소문자를 구분합니다.

$ aws kms update-alias --alias-name 'alias/test-key' --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321

별칭이 대상 CMK와 연결되어 있는지 확인하려면ListAliases작업을 다시 실행합니다. 이AWS CLI명령은--query매개 변수를 사용하여test-key별칭. 이TargetKeyIdLastUpdatedDate필드가 업데이트됩니다.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]' [ { "AliasName": "alias/test-key", "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1593622000.191, "LastUpdatedDate": 1604958290.154 } ]

별칭 삭제

당신은 별칭을 삭제할 수 있습니다AWS KMS콘솔을 사용하여 모니터링하거나DeleteAlias작업을 사용합니다. 별칭을 삭제하기 전에 별칭이 사용되지 않는지 확인합니다. 별칭을 삭제해도 연결된 CMK에는 영향을 주지 않지만 별칭을 사용하는 응용 프로그램에 문제가 발생할 수 있습니다. 실수로 별칭을 삭제한 경우 이름이 같은 새 별칭을 만들어 같거나 다른 CMK에 연결할 수 있습니다.

CMK를 삭제하면 해당 CMK와 연결된 모든 별칭이 삭제됩니다.

별칭 삭제 (콘솔)

별칭을 삭제하려면AWS KMS콘솔 사용별칭탭은 CMK의 세부 정보 페이지에서 확인할 수 있습니다. CMK에 대한 여러 별칭을 한 번에 삭제할 수 있습니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다. 에 대한 별칭을 관리할 수 없습니다.AWS관리형 CMK 또는AWS소유 CMK.

  4. 테이블에서 CMK의 키 ID 또는 별칭을 선택합니다. 그런 다음 CMK 세부 정보 페이지에서별칭탭을 사용합니다.

    CMK에 여러 별칭이 있는 경우별칭열에 하나의 별칭과 별칭 요약이 표시됩니다 (예:(+n추가 정보. 별칭 요약을 선택하면별칭탭을 클릭하여 CMK 세부 정보 페이지를 엽니다.

  5. 별칭탭에서 삭제하려는 별칭 옆의 확인란을 선택합니다. 그런 다음 [Delete]를 선택합니다.

별칭 삭제 (AWS KMSAPI)

별칭을 삭제하려면 DeleteAlias 작업을 사용합니다. 이 작업은 한 번에 하나의 별칭을 삭제합니다. 별칭 이름은 대/소문자를 구분하며 앞에 와야 합니다.alias/접두사.

예를 들어, 다음 명령은test-key별칭. 이 명령은 출력을 반환하지 않습니다.

$ aws kms delete-alias --alias-name alias/test-key

별칭이 삭제되는지 확인하려면ListAliases작업을 사용합니다. 다음 명령은--query의 파라미터AWS CLI를 사용하여test-key별칭. 응답의 빈 대괄호는ListAliases응답에 포함되지 않은test-key별칭. 대괄호를 제거하려면--output text파라미터 및 값입니다.

$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/test-key`]' []