고객 마스터 키 삭제 - AWS Key Management Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

고객 마스터 키 삭제

삭제 고객 마스터 키 (CMK) AWS Key Management Service (AWS KMS)는 파괴적이고 잠재적으로 위험합니다. 주요 재료 및 모든 메타데이터를 삭제하고 CMK 되돌릴 수 없습니다. a 후 CMK 이(가) 삭제되어 더 이상 암호화된 데이터를 더 이상 해독할 수 없습니다. CMK을(를) 통해 데이터를 복구할 수 없게 됩니다. 귀하는 CMK 더 이상 사용할 필요가 없다고 확신할 수 있습니다. 확실하지 않은 경우, 비활성화 CMK 을(를) 삭제하는 대신. 비활성화된 경우 CMK 나중에 다시 사용해야 하는 경우 삭제된 CMK.

삭제하기 전에 CMK에서 암호화가 얼마나 많은 Ciphertexts를 암호화했는지 알 수 있습니다. CMK. AWS KMS 은(는) 이 정보를 저장하지 않으며 어떠한 시퍼텍도 저장하지 않습니다. 이 정보를 얻기 위해서는 CMK. 이때 도움이 될 만한 지침을 읽으려면 과거의 과거 사용 고객 마스터 키 페이지를 방문하십시오.

AWS KMS 절대로 CMKs 삭제하도록 명시적으로 예약하지 않는 한, 필수 대기 기간이 만료됩니다.

하지만 CMK 다음 중 하나 이상의 이유로:

  • 의 키 수명 주기를 완료하려면 CMKs 더 이상

  • 관리 오버헤드 및 비용 사용하지 않은 상태에서 CMKs

  • To reduce the number of CMKs 고객과 CMK 리소스 할당량

참고

귀하가 종료 또는 삭제 AWS 계정님, CMKs 이(가) 에 대해 더 이상 청구되지 않습니다. 귀하는 CMKs 계좌 종료와 별개로 구분됩니다.

삭제 방법 고객 마스터 키 작업

권한이 부여된 사용자는 대칭 및 비트 메트릭을 삭제할 수 있습니다. 고객 마스터 키 (CMKs) ). 이 절차는 두 유형 모두에 대해 동일합니다. CMKs.

파괴적이고 잠재적으로 위험을 삭제하기 때문에 CMK, AWS KMS 대기 기간을 집행합니다. 삭제하려면 CMK 에서 AWS KMS 여러분은 스케줄 키 삭제. 대기 기간을 최소 7일에서 최대 30일까지 설정할 수 있습니다. 기본 대기 기간은 30일입니다.

대기 기간 동안 CMK 상태 및 키 상태는 삭제 대기 중.

대기 기간 종료 후 AWS KMS 삭제 CMK 모두 AWS KMS 모든 별칭을 비롯하여, 이를 가리킵니다.

키 삭제를 예약하면 AWS KMS가 대기 기간이 끝나는 날짜와 시간을 보고합니다. 이 날짜와 시간은 키 삭제를 예약한 시점으로부터 지정된 최소 수만큼 경과한 시점이지만 최대 24시간이 더해질 수 있습니다. 예를 들어 키 삭제를 예약하고 대기 시간을 7일로 설정한다고 해봅시다. 이 경우에는 요청한 시간으로부터 7일 이후부터 8일 이내에 대기 시간이 종료됩니다. AWS Management 콘솔, AWS CLI, 또는 AWS KMS API에서 대기 기간이 끝나는 정확한 날짜와 시간을 확인합니다.

대기 기간을 사용하여 CMK 현재 또는 미래에. 여러분은 구성 Amazon CloudWatch 알람 개인 또는 애플리케이션이 사용하려고 시도하는 경우 CMK 대기 기간 동안. 복구하려면 CMK대기 기간 종료 전에 키 삭제를 취소할 수 있습니다. 대기 기간 종료 후 키 삭제를 취소할 수 없습니다. AWS KMS 삭제 CMK.

AWS KMS 항목을 AWS CloudTrail 로그인 스케줄 삭제 of the CMK 그리고 CMK 실제로 삭제된.

차트 메트릭 삭제 CMKs

사용자 승인된 대칭 또는 비트 메트릭 삭제 가능 CMKs. 이러한 절차의 삭제 절차 CMKs 은(는) 두 유형의 키 모두에 대해 동일합니다. 하지만 ping 메트릭의 공개 키 CMK 다운로드 가능 그리고 AWS KMS...이 작업은 특히, 특히, 특히, CMKs 암호화(키 사용량은 ENCRYPT_DECRYPT) ).

  • 사용자가 CMK의 주요 상태 CMK 변경 사항 삭제 대기 중, 및 CMK 에서 사용할 수 없음 암호화 작업. 그러나 삭제 예약은 AWS KMS 외부의 퍼블릭 키에는 영향을 미치지 않습니다. 퍼블릭 키가 있는 사용자는 계속해서 해당 키를 사용하여 메시지를 암호화할 수 있습니다. 키 상태가 변경되었다는 알림은 받지 못합니다. 삭제가 취소되지 않으면 해당 퍼블릭 키로 생성된 암호화 텍스트는 해독할 수 없습니다.

  • 경보, 로그 및 기타 전략을 사용하여 CMK 삭제 대기 중(Pending Delete)는 공개 키 사용을 AWS KMS.

  • 언제 CMK 삭제됨, 모두 AWS KMS 관련 행동을 CMK 실패. 그러나 퍼블릭 키가 있는 사용자는 계속해서 메시지를 암호화하는 데 사용할 수 있습니다. 이러한 암호화 텍스트는 해독할 수 없습니다.

차트 메트릭을 삭제해야 하는 경우 CMK 의 주요 사용 ENCRYPT_DECRYPT님, CloudTrail 공개 키가 다운로드 및 공유되었는지 여부를 결정하기 위한 로그 항목. 그러한 퍼블릭 키가 있을 경우 해당 키가 AWS KMS 외부에서 사용되지 않는지 확인합니다. 그런 다음, 비활성화 CMK 을(를) 삭제하는 대신.

삭제 방법 고객 마스터 키 영향을 AWS 서비스 통합 AWS KMS

여러 AWS 서비스가 AWS KMS와 통합되어 데이터를 보호합니다. 이러한 서비스 중 일부는 다음과 같습니다. Amazon EBS and Amazon Redshift, 고객 마스터 키 (CMK) AWS KMS 만들기 위해 데이터 키 데이터 키를 사용하여 데이터를 암호화합니다. 보호하는 데이터가 현재 사용 중인 동안에는 이러한 일반 텍스트 데이터 키가 메모리에 유지됩니다.

일정 예약 CMK 삭제하면 사용 불가능하지만 AWS 메모리에 데이터 키를 사용하여 데이터를 암호화하고 암호화합니다. 서비스는 CMK 삭제 대기 중입니다.

예를 들어 다음 시나리오를 고려해 보십시오.

  1. 암호화된 EBS 볼륨을 생성하고 CMK. Amazon EBS 질문한다 AWS KMS 사용하기 위해 CMK ~ 암호화된 데이터 키 생성 볼륨에 대해 에 대해 의 용적을 Amazon EBS 암호화된 데이터 키를 볼륨으로 저장합니다.

  2. EBS 볼륨을 EC2 인스턴스에 연결하면 Amazon EC2 질문한다 AWS KMS 사용하기 위해 CMK EBS 볼륨의 암호화된 데이터 키를 복호화합니다. Amazon EC2 는 일반 텍스트 데이터 키를 하이퍼바이저 메모리에 저장하고 이를 사용하여 디스크 입출력을 EBS 볼륨에 암호화합니다. EBS 볼륨이 EC2 인스턴스에 연결되어 있는 동안에는 데이터 키가 메모리에 유지됩니다.

  3. 일정을 잡고 CMK 삭제할 수 없습니다. 이렇게 하면 EC2 인스턴스 또는 EBS 볼륨에 즉각적인 영향을 미치지 않습니다. Amazon EC2 일반 텍스트 데이터 키 사용—이(가) CMK—EBS 볼륨에 대한 디스크 입출력을 암호화합니다.

    예정된 시간이 경과하고 AWS KMS 삭제 CMK, EC2 인스턴스 또는 EBS 볼륨에 대한 즉각적인 영향은 없으므로 Amazon EC2 일반 텍스트 데이터 키를 사용하여 CMK.

  4. 단, 암호화된 EBS 볼륨이 EC2 인스턴스에서 삭제되면 Amazon EBS는 일반 텍스트 키를 메모리에서 제거합니다. 다음 번에 암호화된 EBS 볼륨이 EC2 인스턴스에 연결된 경우 첨부 파일이 실패합니다. Amazon EBS 을(를) 사용할 수 없습니다. CMK 볼륨의 암호화된 데이터 키를 복호화합니다.

키 삭제 예약 및 취소()

다음 절차에서는 AWS Management 콘솔, AWS CLI 및 AWS SDK for Java를 사용하여 AWS KMS에서 키 삭제를 예약하고 취소하는 방법에 대해 설명합니다.

주의

삭제 고객 마스터 키 (CMK) AWS KMS 파괴적이고 잠재적으로 위험할 수 있습니다. 귀하는 CMK 향후 사용할 필요가 없습니다. 확실치 않은 경우 비활성화 CMK 을(를) 삭제하는 대신.

삭제하기 전에 CMK님, 을(를) 수행할 권한이 있어야 합니다. 주요 정책에 의존하는 경우 AWS KMS 권한을 부여하려면 CMK. 이러한 권한 추가에 대한 자세한 내용은 키 삭제 예약 및 취소를 위한 권한 추가()에서 확인하십시오.

AWS KMS 항목을 AWS CloudTrail 로그인 스케줄 삭제 of the CMK 그리고 CMK 실제로 삭제된.

키 삭제 예약 및 취소(console)

AWS Management 콘솔에서 키 삭제를 예약하고 취소할 수 있습니다.

키 삭제를 예약하려면

  1. AWS Management 콘솔에 로그인한 후 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 옆의 확인란을 선택합니다. CMK 을(를) 삭제하려고 합니다.

  5. Key actions(키 작업)Schedule key deletion(키 삭제 예약)을 차례로 선택합니다.

  6. 경고와 대기 기간 동안 삭제 취소에 대한 정보를 읽고 고려하십시오. 삭제를 취소하려면 취소를 선택합니다.

  7. Waiting period(in days)(대기 기간(일))에 7~30 범위의 일수를 입력합니다.

  8. 옆의 확인란을 선택합니다. 삭제하기 위해 이 키를 예약하시겠습니까?<number of days>.

  9. [Schedule deletion]을 선택합니다.

The CMK 상태 변경 삭제 대기 중.

키 삭제를 취소하려면

  1. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 옆의 확인란을 선택합니다. CMK 을(를) 복구하려고 합니다.

  5. Key actions(키 작업)Cancel key deletion(키 삭제 취소)을 차례로 선택합니다.

The CMK 상태 변경 삭제 대기 중 ~ 사용 안 함. 사용 방법 CMK님, 활성화.

키 삭제 예약 및 취소(AWS CLI)

다음 예제와 같이 aws kms schedule-key-deletion 명령을 사용하여 AWS CLI에서 키 삭제를 예약할 수 있습니다.

$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10

성공적으로 사용되면 AWS CLI는 다음 예제의 출력과 비슷한 출력을 반환합니다.

{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1442102400.0 }

다음 예제와 같이 aws kms cancel-key-deletion 명령을 사용하여 AWS CLI에서 키 삭제를 취소할 수 있습니다.

$ aws kms cancel-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

성공적으로 사용되면 AWS CLI는 다음 예제의 출력과 비슷한 출력을 반환합니다.

{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }

의 상태 CMK 변경 삭제 대기 중 ~ 사용 안 함. 사용 방법 CMK님, 활성화.

키 삭제 예약 및 취소(AWS SDK for Java)

다음 예는 일정을 잡는 방법을 보여줍니다. CMK 삭제용 AWS SDK for Java. 이 예제에서는 먼저 AWSKMSClientkms로 인스턴스화해야 합니다.

String KeyId = "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"; int PendingWindowInDays = 10; ScheduleKeyDeletionRequest scheduleKeyDeletionRequest = new ScheduleKeyDeletionRequest().withKeyId(KeyId).withPendingWindowInDays(PendingWindowInDays); kms.scheduleKeyDeletion(scheduleKeyDeletionRequest);

다음 예제는 AWS SDK for Java를 사용하여 키 삭제를 취소하는 방법을 보여줍니다. 이 예제에서는 먼저 AWSKMSClientkms로 인스턴스화해야 합니다.

String KeyId = "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"; CancelKeyDeletionRequest cancelKeyDeletionRequest = new CancelKeyDeletionRequest().withKeyId(KeyId); kms.cancelKeyDeletion(cancelKeyDeletionRequest);

의 상태 CMK 변경 삭제 대기 중 ~ 사용 안 함. 사용 방법 CMK님, 활성화.

키 삭제 예약 및 취소를 위한 권한 추가()

사용하는 경우 IAM 허용하는 정책 AWS KMS 권한, 모두 IAM 사용자 및 역할 AWS 관리자 액세스("Action": "*") 또는 AWS KMS 전체 액세스("Action": "kms:*"에 대한 키 삭제 일정을 잡고 취소할 수 있습니다. AWS KMS CMKs. 주요 정책에 의존하는 경우 AWS KMS 허용하려면 IAM 삭제할 사용자 및 역할 CMKs. 이 권한을 추가하려면 다음 단계를 참조하십시오.

다음 절차는 AWS Management 콘솔 또는 AWS CLI를 사용해 키 정책에 권한을 추가하는 방법에 대해 설명합니다.

키 삭제를 예약하고 취소할 권한을 추가하는 방법

키 삭제 예약 및 취소를 위한 권한 추가(console)

AWS Management 콘솔을 이용해 키 삭제를 예약하고 취소할 권한을 추가할 수 있습니다.

  1. AWS Management 콘솔에 로그인한 후 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 의 별칭 또는 키 ID를 선택합니다. CMK 변경할 권한이 있습니다.

  5. Key policy(키 정책) 섹션의 Key deletion(키 삭제) 아래에서 Allow key administrators to delete this key(관리자가 이 키를 삭제하도록 허용)를 선택한 다음 변경 사항 저장을 선택합니다.

    참고

    Allow key administrators to delete this key(키 관리자가 이 키를 삭제하도록 허용) 옵션이 표시되지 않는 경우, 보통은 AWS KMS API를 이용해 이 키 정책을 수정했다는 의미입니다. 이 경우 키 정책 문서를 수동으로 업데이트해야 합니다. kms:ScheduleKeyDeletionkms:CancelKeyDeletion 권한을 키 정책의 키 관리자 문("Sid": "Allow access for Key Administrators")에 추가한 다음 변경 사항 저장을 선택합니다.

키 삭제 예약 및 취소를 위한 권한 추가(AWS CLI)

AWS Command Line Interface을 이용해 키 삭제를 예약하고 취소할 권한을 추가할 수 있습니다.

키 삭제를 예약하고 취소할 권한을 추가하려면

  1. aws kms get-key-policy 명령을 이용해 기존 키 정책을 검색한 후 정책 문서를 파일에 저장합니다.

  2. 원하는 텍스트 편집기에서 정책 문서를 열고 키 관리자에게 권한을 부여하는 정책 설명(예를 들어 "Sid": "Allow access for Key Administrators"가 포함된 정책 설명)에 kms:ScheduleKeyDeletionkms:CancelKeyDeletion 권한을 추가합니다. 그런 다음 파일을 저장합니다. 다음 예는 이 두 권한이 포함된 정책 설명을 보여줍니다.

    { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }
  3. 사용 aws kms put-key-policy 명령을 사용하여 CMK.