다중 리전 기본 키 만들기
AWS KMS 콘솔에서 또는 AWS KMS API를 사용하여 다중 리전 기본 키를 만들 수 있습니다. AWS KMS가 다중 리전 키를 지원하는 모든 AWS 리전에서 기본 키를 생성할 수 있습니다.
다중 리전 기본 키를 생성하려면 보안 주체에게 IAM 정책의 kms:CreateKey 권한을 포함하여 KMS 키를 생성하는 데 필요한 것과 동일한 권한이 필요합니다. 보안 주체는 또한iam:CreateServiceLinkedRole 권한도 필요합니다. kms:MultiRegionKeyType 조건 키를 사용하여 다중 리전 기본 키 생성 권한을 허용하거나 거부할 수 있습니다.
이 지침은 AWS KMS가 생성하는 키 구성 요소로 다중 리전 기본 키를 생성합니다. 키 구성 요소를 가져와서 다중 리전 기본 키를 만들려면 가져온 키 구성 요소를 사용하여 기본 키 구성 요소 만들기 단원을 참조하십시오.
다중 리전 기본 키 만들기(콘솔)
AWS KMS 콘솔에서다중 리전 기본 키를 생성하려면 KMS 키 생성에 사용하는 것과 동일한 프로세스를 사용하십시오. 고급 옵션에서 다중 리전 키를 선택합니다. 전체 지침은 키 생성 단원을 참조하십시오.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
-
탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.
-
키 생성(Create key)을 선택합니다.
-
대칭 또는 비대칭 키 유형을 선택합니다. 대칭 키가 기본값입니다.
대칭인 다중 리전 HMAC KMS 키를 포함하여 다중 리전 대칭 및 비대칭 키를 생성할 수 있습니다.
-
키 사용을 선택합니다. 암호화 및 복호화가 기본값입니다.
도움말은 키 생성, 비대칭 KMS 키 생성 또는 HMAC KMS 키 생성 단원을 참조하세요.
-
고급 옵션을 확장합니다.
-
AWS KMS가 기본 및 복제본 키가 공유할 키 구성 요소를 생성하도록 하려면 키 구성 요소 출처(ey material origin)에서 KMS를 선택합니다. 기본 및 복제본 키로 키 구성 요소를 가져오는 경우 외부(External)를 선택합니다.
-
다중 리전 복제(Multi-Region replication)에서 이 키를 다른 리전으로 복제하도록 허용(Allow this key to be replicated into other Regions)을 선택합니다.
KMS 키를 생성한 후에는 이 설정을 변경할 수 없습니다.
-
기본 키의 별칭을 입력합니다.
별칭은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 별칭 또는 다른 별칭을 지정할 수 있습니다. AWS KMS는 다중 리전 키의 별칭을 동기화하지 않습니다.
참고 별칭을 추가, 삭제 또는 업데이트하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC 및 별칭을 사용하여 KMS 키에 대한 액세스 제어 단원을 참조하십시오.
-
(선택 사항) 기본 키에 대한 설명을 입력합니다.
설명은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 설명 또는 다른 설명을 지정할 수 있습니다. AWS KMS는 다중 리전 키의 설명을 동기화하지 않습니다.
-
(선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 기본 키에 두 개 이상의 태그를 할당하려면 태그 추가(Add tag)를 선택합니다.
태그는 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 태그 또는 다른 태그를 지정할 수 있습니다. AWS KMS는 다중 리전 키의 태그를 동기화하지 않습니다. KMS 키의 태그는 언제든지 변경할 수 있습니다.
참고 KMS 키에 태그를 지정하거나 해제하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC 및 태그를 사용하여 KMS 키에 대한 액세스 제어 단원을 참조하세요.
-
기본 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다.
참고 IAM 정책은 다른 IAM 사용자 및 역할에 KMS 키 관리 권한을 제공할 수 있습니다.
이 단계는 기본 키에 대한 키 정책을 만드는 프로세스를 시작합니다. 키 정책은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 키 정책 또는 다른 키 정책을 지정할 수 있습니다. AWS KMS는 다중 리전 키의 키 정책을 동기화하지 않습니다. KMS 키의 키 정책은 언제든지 변경할 수 있습니다.
-
키 관리자 선택을 포함하여 키 정책 생성 단계를 완료합니다. 키 정책을 검토한 후 마침(Finish)을 클릭하여 KMS 키를 생성합니다.
다중 리전 기본 키 만들기(AWS KMS API)
다중 리전 기본 키를 만들려면 CreateKey 작업을 수행합니다. 값이 True
인 MultiRegion
매개변수를 사용합니다.
예를 들어 다음 명령은 호출자의 AWS 리전(us-east-1)에 다중 리전 기본 키를 생성합니다. 키 정책을 포함하여 다른 모든 속성을 위해 기본값을 허용합니다. 다중 리전 기본 키의 기본값은 기본 키 정책을 포함하여 다른 모든 KMS 키의 기본값과 동일합니다. 이 절차에서는 기본 KMS 키인 대칭 암호화 키를 생성합니다.
응답에는 복제본 키가 없는 다중 리전 기본 키에 대한 값과 일반적인 하위 요소가 있는 MultiRegion
요소 및 MultiRegionConfiguration
요소가 포함됩니다. 다중 리전 키의 키 ID는 항상 mrk-
로 시작합니다.
aws kms create-key --multi-region
$
{ "KeyMetadata": { "Origin": "AWS_KMS", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Description": "", "KeyManager": "CUSTOMER", "Enabled": true, "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1606329032.475, "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "AWSAccountId": "111122223333", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ ] } } }