다중 리전 기본 키 만들기 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 리전 기본 키 만들기

생성 할 수 있습니다.다중 리전 기본 키의AWS KMS콘솔을 사용하여 생성하거나AWS KMSAPI. 기본 키를 만들 수 있습니다. AWS 리전 여기서 각 항목은 다음과 같습니다.AWS KMS는 다중 지역 키를 지원합니다.

다중 리전 기본 CMK를 만들려면 보안 주체가동일한 권한를 포함하여 CMK를 생성해야하는KMS:만들기 키IAM 정책에서 권한을 확인합니다. 보안 주체는 또한iam:CreateServiceLinkedRole권한을 부여합니다. 이KMS:다중 영역 키 유형조건 키를 사용하여 다중 지역 기본 키를 만들 수 있는 권한을 허용하거나 거부할 수 있습니다.

이 지침은 다음과 같은 키 자료로 다중 지역 기본 키를 만듭니다.AWS KMS그러면 이 생성됩니다. 키 구성 요소를 가져와서 다중 리전 기본 키를 만들려면가져온 키 구성 요소로 기본 키 만들기.

다중 리전 기본 키 만들기 (콘솔)

다중 리전 기본 키를 만들려면AWS KMS콘솔에서 CMK를 생성하는 데 사용하는 것과 동일한 프로세스를 사용합니다. 에서 다중 지역 키를 선택합니다.고급 옵션. 전체 지침은 키 생성 단원을 참조하세요.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. [Create key]를 선택합니다.

  5. 를 선택합니다.대칭 또는 비대칭키 유형을 선택합니다. 비대칭을 선택하는 경우 키 사용법 및 키 사양을 선택해야합니다.

  6. 고급 옵션을 확장합니다.

  7. 언더키 구성 요소 오리진가질 수 있습니다.AWS KMS기본 키와 복제 키가 공유 할 키 자료를 생성하고KMS. 다음과 같은 경우키 구성 요소 가져오기를 기본 키 및 복제본 키로 복사하려면외부.

  8. 언더다중 리전 복제를 선택하고이 키를 다른 지역으로 복제할 수 있도록 허용.

    CMK를 생성한 후에는 이 설정을 변경할 수 없습니다.

  9. 를 입력합니다.별칭CMK를 위한 것입니다.

    별칭은 다중 영역 CMK의 공유 속성이 아닙니다. 다중 리전 기본 CMK와 해당 복제본에 동일한 별칭 또는 다른 별칭을 지정할 수 있습니다.AWS KMS는 다중 지역 키의 별칭을 동기화하지 않습니다.

    참고

    별칭을 추가, 삭제 또는 업데이트하면 CMK에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 용 ABACAC 사용AWS KMS별칭을 사용하여 CMK에 대한 액세스 제어 단원을 참조하십시오.

  10. (선택 사항) CMK에 대한 설명을 입력합니다.

    설명은 다중 영역 CMK의 공유 특성이 아닙니다. 다중 리전 기본 CMK와 해당 복제본에 동일한 설명이나 다른 설명을 제공할 수 있습니다.AWS KMS는 다중 지역 키의 키 설명을 동기화하지 않습니다.

  11. (선택 사항) 태그 키와 태그 값(선택)을 입력합니다. CMK에 두 개 이상의 태그를 지정하려면태그 추가.

    태그는 다중 영역 CMK의 공유 특성이 아닙니다. 다중 리전 기본 CMK와 해당 복제본에 동일한 태그 또는 다른 태그를 지정할 수 있습니다.AWS KMS는 다중 지역 키의 태그를 동기화하지 않습니다. CMK의 태그는 언제든지 변경이 가능합니다.

    참고

    CMK를 태깅하거나 태깅 해제하면 CMK에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 용 ABACAC 사용AWS KMS태그를 사용하여 CMK에 대한 액세스 제어 단원을 참조하십시오.

  12. CMK를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 CMK 관리 권한을 제공할 수 있습니다.

    이 단계는 생성 프로세스를 시작키 정책CMK를 위한 것입니다. 주요 정책은 다중 지역 CMK의 공유 속성이 아닙니다. 다중 리전 기본 CMK와 해당 복제본에 동일한 키 정책 또는 다른 키 정책을 제공할 수 있습니다.AWS KMS는 다중 지역 키의 키 정책을 동기화하지 않습니다. CMK의 키 정책은 언제든지 변경이 가능합니다.

  13. 주요 관리자 선택을 포함하여 주요 정책 생성 단계를 완료합니다. 키 정책을 검토한 후FinishCMK를 생성합니다.

다중 리전 기본 키 만들기 (AWS KMSAPI)

다중 리전 기본 키를 만들려면CreateKey작업을 수행합니다. 사용MultiRegion값을 가진 파라미터를True.

예를 들어 다음 명령은 호출자의 AWS 리전 (us-east-1) 을 선택합니다. 키 정책을 포함하여 다른 모든 속성을 위해 기본값을 허용합니다. 다중 리전 기본 키의 기본값은 다른 모든 CMK에 대한 기본값과 동일하며기본 키 정책.

응답에는 다음이 포함됩니다.MultiRegion및 요소MultiRegionConfiguration요소를 일반적인 하위 요소 및 복제 키가 없는 다중 지역 기본 키의 값으로 사용합니다. 이키 ID의 다중 지역 키는 항상mrk-.

$ aws kms create-key --multi-region { "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }