AWS CloudHSM 키 스토어에서 KMS 키 삭제 예약

암호화 작업에서 AWS KMS key를 사용할 필요가 없다고 확신하는 경우 KMS 키 삭제를 예약할 수 있습니다. AWS KMS에서 KMS 키 삭제를 예약할 때 사용하는 것과 동일한 절차를 사용합니다. 뿐만 아니라 대기 시간이 만료되면 AWS KMS이 연결된 AWS CloudHSM 클러스터에서 해당되는 키 구성 요소를 삭제할 수 있도록 AWS CloudHSM 키 스토어의 연결을 유지합니다.

AWS CloudTrail 로그에서 KMS 키의 예약, 취소 및 삭제를 모니터링할 수 있습니다.

주의

KMS 키 삭제는 KMS 키에서 암호화된 모든 데이터를 복구하지 못하도록 할 위험성이 있는 안전하지 않은 작업입니다. KMS 키 삭제 일정을 잡기 전에 KMS 키의 과거 사용을 살펴보고 삭제 대기 중인 사람이 KMS 키를 사용하려고 하면 알림을 보내는 Amazon CloudWatch 경보를 생성하십시오. 가능한 경우에는 언제든지 삭제하는 대신 KMS 키를 비활성화합니다.

AWS CloudHSM 키 스토어에서 KMS 키 삭제를 예약하면 해당 키 상태가 Pending deletion(삭제 보류 중)으로 변경됩니다. KMS 키는 삭제 보류 중 상태로 인해 KMS 키를 사용할 수 없게 되는 경우에도 대기 기간 동안사용자 지정 키 스토어의 연결을 해제합니다.. 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다.

대기 기간이 만료되면 AWS KMS는 AWS KMS에서 KMS 키를 삭제합니다. 그런 다음 AWS KMS는 연결 AWS CloudHSM 클러스터에서 키 구성 요소를 삭제하기 위해 최선의 노력을 다합니다. AWS KMS에서 키 스토어의 연결이 해제된 경우처럼 AWS KMS가 키 구성 요소를 삭제할 수 없는 경우에는 클러스터에서 수동으로 불필요한 키 구성 요소를 삭제해야 할 수 있습니다.

AWS KMS는 클러스터 백업에서 키 구성 요소를 삭제하지 않습니다. AWS KMS에서 KMS 키를 삭제하고 AWS CloudHSM 클러스터에서 키 구성 요소를 삭제하는 경우라 하더라도 백업에서 생성된 클러스터에는 삭제된 키 구성 요소가 포함될 수 있습니다. 키 구성 요소를 영구적으로 삭제하려면 KMS 키의 생성 날짜를 확인합니다. 그런 다음, 키 구성 요소가 포함되어 있을 수 있는 모든 클러스터 백업을 삭제합니다.

AWS CloudHSM 키 스토어에서 KMS 키 삭제를 예약하면 KMS 키는 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 데이터 키로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 리소스를 보호하기 위해 데이터 키를 사용하는 AWS 서비스에 영향을 미칩니다. 자세한 내용은 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향 단원을 참조하십시오.