사용자 지정 키 스토어에서 CMK 생성 - AWS Key Management Service
사용자 지정 키 스토어에서 CMK 생성(콘솔)사용자 지정 키 스토어에서 CMK 생성(API)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 키 스토어에서 CMK 생성

사용자 지정 키 스토어를 생성한 후에는 키 스토어에서 고객 마스터 키(CMK)를 생성할 수 있습니다. 여야 합니다.대칭 CMK를 AWS KMS 에서 생성하는 주요 자료와 함께 제공합니다. 생성할 수 없습니다.비대칭 CMK또는 CMK를가져온 키 구성 요소에서 대칭 CMK를 사용하여 비대칭 데이터 키 페어를 생성할 수 없는 사용자 지정 키 스토어에서 대칭 CMK를 사용할 수 없습니다.

AWS KMS 에서 CMK를 사용하고 관리하는 것과 동일한 방식으로 사용자 지정 키 스토어의 CMK를 사용하고 관리합니다. 예를 들어 다음 중 하나를 수행할 수 있습니다.

  • 암호화 작업에 CMK를 사용합니다.

  • CMK에서 IAM 및 키 정책을 설정합니다.

  • 별칭 만들기는 CMK와 연결됩니다.

  • CMK에 태그를 연결합니다.

  • CMK를 활성화 및 비활성화합니다.

  • CMK의 삭제를 예약합니다.

사용자 지정 키 스토어에서 CMK를 생성하려면 사용자 지정 키 스토어가연결된 AWS CloudHSM 클러스터에 연결됨하지만 클러스터는 서로 다른 가용 영역에 활성 HSM을 최소 2개 포함하고 있어야 합니다. 연결 상태 및 HSM의 수를 찾으려면사용자 지정 키 스토어AWS Management Console에서 을 선택합니다. API 작업을 사용할 때 DescribeCustomKeyStores 작업을 사용해 해당되는 사용자 지정 키 스토어가 연결되어 있는지 확인합니다. AWS CloudHSM 사용DescribeClusters작업을 수행하여 클러스터 및 가용 영역에 활성 HSM의 수를 확인합니다.

사용자 지정 키 스토어에서 CMK를 생성할 때 AWS KMS 는 AWS KMS에서 CMK를 생성합니다. 하지만 연결 AWS CloudHSM 클러스터에서 CMK용 키 구성 요소를 생성합니다. 특히 AWS KMS 는 클러스터에kmsuser사용자가 만든 CU를 선택합니다. 그런 다음, 클러스터에서 지속적이고 추출 불가능한 256비트 고급 암호화 표준 (AES) 대칭 키를 생성합니다. AWS KMS 는키 레이블 속성는 클러스터에서만 표시되는 CMK의 Amazon 리소스 이름 (ARN) 으로 연결됩니다.

명령이 성공하면 새 CMK의 키 상태Enabled가 되고 오리진은 AWS_CLOUDHSM이 됩니다. 생성 이후에 CMK의 오리진을 변경할 수 없습니다. 콘솔에서 또는 DescribeKey 작업을 사용하여 사용자 지정 키 스토어에서 CMK를 볼 때는 키 ID, 키 상태, 생성 날짜 같은 일반적인 속성들을 확인할 수 있습니다. 하지만 사용자 지정 키 스토어 ID와 AWS CloudHSM 클러스터 ID (선택 사항) 을 확인할 수도 있습니다. 세부 정보는 사용자 지정 키 스토어에서 CMK 보기 단원을 참조하십시오.

사용자 지정 키 스토어에서 CMK을 생성하려는 시도가 실패할 때 오류 메시지를 사용하면 원인을 판단하는 데 도움이 됩니다. 사용자 지정 키 스토어가 연결되어 있지 않다는 (CustomKeyStoreInvalidStateException) 또는 연결 AWS CloudHSM 클러스터에 이 작업에 필요한 2개의 활성 HSM이 포함되어 있지 않습니다 (CloudHsmClusterInvalidConfigurationException). 도움말은 사용자 지정 키 스토어 문제 해결 단원을 참조하십시오.

사용자 지정 키 스토어에서 CMK 생성(콘솔)

다음 절차를 이용해 사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 생성합니다.

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. [Create key]를 선택합니다.

  5. Symmetric(대칭)을 선택합니다.

    사용자 지정 키 스토어에서 비대칭 CMK는 생성할 수 없습니다.

  6. 고급 옵션을 선택합니다.

  7. Key material origin(키 구성 요소 오리진)에서 Custom key store(CloudHSM)(사용자 지정 키 스토어(CloudHSM))을 선택합니다.

  8. [Next]를 선택합니다.

  9. 새 CMK에 대한 사용자 지정 키 스토어를 선택합니다. 사용자 지정 키 스토어를 새로 생성하려면 Create custom key store(사용자 지정 키 스토어 생성)를 선택합니다.

    선택한 사용자 지정 키 스토어의 상태는 CONNECTED(연결 상태)여야 합니다. 연결 AWS CloudHSM 클러스터는 활성 상태여야 하고 서로 다른 가용 영역에 최소 2개의 활성 HSM을 포함하고 있어야 합니다.

    사용자 지정 키 스토어를 연결하는 방법에 대한 도움말은 사용자 지정 키 스토어 연결 및 연결 해제 단원을 참조하십시오. HSM 추가에 대한 도움말은HSM 추가AWS CloudHSM 사용 설명서를 선택합니다.

  10. [Next]를 선택합니다.

  11. CMK의 별칭과 설명(선택 사항)을 입력합니다.

  12. (선택). 태그 추가 페이지에서 CMK를 식별 및 분류하는 태그를 추가합니다.

    AWS 리소스에 태그를 추가하면 AWS 태그별로 집계된 사용 내역 및 비용을 포함하는 비용 할당 보고서를 생성합니다. 태그는 CMK에 대한 액세스를 제어하는 데에도 사용할 수 있습니다. CMK 태그 지정에 대한 자세한 내용은키 태그 지정AWS KMS 에 ABAC 사용를 선택합니다.

  13. [Next]를 선택합니다.

  14. Key Administrators(키 관리자) 섹션에서 CMK를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다. 자세한 내용은 키 관리자가 CMK를 관리하도록 허용을 참조하십시오.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 CMK 사용 권한을 제공할 수 있습니다.

  15. (선택 사항) 이러한 키 관리자가 CMK를 삭제하지 못하도록 하려면 페이지 하단에 있는 Allow key administrators to delete this key(키 관리자가 이 키를 삭제하도록 허용) 확인란의 선택을 취소합니다.

  16. [Next]를 선택합니다.

  17. 에서이 계정섹션에서 CMK를 사용할 수 있는 이 AWS 계정의 IAM 사용자 및 역할을 선택합니다.암호화 작업를 선택합니다. 자세한 내용은 키 사용자가 CMK를 사용하도록 허용을 참조하십시오.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 CMK 사용 권한을 제공할 수 있습니다.

  18. (선택 사항) 다른 AWS 계정이 암호화 작업에서 이 CMK를 사용하도록 허용할 수 있습니다. 이렇게 하려면 페이지 하단의 Other AWS accounts(다른 AWS 계정) 섹션에서 Add another AWS account(다른 AWS 계정 추가)를 선택하고 외부 계정의 AWS 계정 식별 번호를 입력합니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.

    참고

    다른 AWS 계정의 관리자는 사용자에 대해 IAM 정책을 생성하여 CMK에 대한 액세스도 허용해야 합니다. 자세한 내용은 다른 계정의 사용자가 CMK를 사용하도록 허용 단원을 참조하세요.

  19. [Next]를 선택합니다.

  20. 선택한 키 설정을 검토합니다. 여전히 돌아가서 모든 설정을 변경할 수 있습니다.

  21. 모두 마쳤으면Finish키를 생성하려면 이 옵션을 선택합니다.

절차가 성공하면 화면에서 선택한 사용자 지정 키 스토어에 새 CMK가 표시됩니다. 새 CMK의 이름 또는 별칭을 선택하면 세부 정보 페이지에 CMK의 오리진 (CloudHSM), 사용자 지정 키 스토어의 이름 및 ID, AWS CloudHSM 클러스터의 ID입니다. 이 절차가 실패하면 실패 원인을 설명하는 오류 메시지가 나타납니다.

작은 정보

사용자 지정 키 스토어에서 CMK를 손쉽게 식별하려면 Customer managed keys(고객 관리형 키) 페이지에서 Custom key store ID(사용자 지정 키 스토어 ID) 열을 화면에 추가합니다. 오른쪽 상단의 기어 아이콘을 클릭하고 Custom key store ID(사용자 지정 키 스토어 ID)를 선택합니다.

사용자 지정 키 스토어에서 CMK 생성(API)

사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 새로 생성하려면 CreateKey 작업을 사용합니다. CustomKeyStoreId 파라미터를 사용하여 사용자 지정 키 스토어를 식별하고 AWS_CLOUDHSMOrigin 값을 지정합니다.

Policy 파라미터를 사용해 키 정책을 지정할 수도 있습니다. 언제든 키 정책(PutKeyPolicy)을 변경하고 설명태그 등의 선택적 요소를 추가할 수 있습니다.

이 단원의 예제에서는AWS 명령줄 인터페이스(AWS CLI)이지만, 사용자는 어떤 지원되는 프로그래밍 언어라도 사용할 수 있습니다.

다음 예제에 대한 호출로 시작DescribeCustomKeyStores작업을 수행하여 사용자 지정 키 스토어가 연결 AWS CloudHSM 클러스터에 연결되어 있는지 확인합니다. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 특정한 사용자 지정 키 스토어만 설명하려면 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터를 사용합니다(둘 모두를 사용해서는 안 됨).

이 명령을 실행하기 앞서 예제에 나온 사용자 지정 키 스토어 ID를 유효한 ID로 대체합니다.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

다음 예제 명령은DescribeClusters작업을 실행하여 AWS CloudHSM 클러스터가ExampleKeyStore(클러스터-1a23b4cdefg) 에는 적어도 두 개의 활성 HSM이 있습니다. 클러스터의 HSM 수가 2개 미만이면 CreateKey 작업이 실패합니다. 

$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}

이 예제 명령은 CreateKey 작업을 사용해 CMK의 사용자 지정 키 스토어를 생성합니다. 사용자 지정 키 스토어에서 CMK를 생성하려면 사용자 지정 키 스토어 이름의 ID를 제공하고 AWS_CLOUDHSMOrigin 값을 지정해야 합니다.

응답에는 사용자 지정 키 스토어 및 AWS CloudHSM 클러스터의 ID가 포함되어 있습니다.

이 명령을 실행하기 앞서 예제에 나온 사용자 지정 키 스토어 ID를 유효한 ID로 대체합니다.

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}