AWS CloudHSM 키 저장소 연결 해제 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 키 저장소 연결 해제

AWS CloudHSM 키 스토어를 연결 해제하면 AWS KMS가 AWS CloudHSM 클라이언트에서 로그아웃하고 연결된 AWS CloudHSM 클러스터에서 연결 해제되며, 연결을 지원하기 위해 생성된 네트워크 인프라를 제거합니다.

AWS CloudHSM 키 스토어가 연결 해제된 동안 사용자가 AWS CloudHSM 키 스토어와 해당 KMS 키를 관리할 수 있지만 AWS CloudHSM 키 스토어에서 KMS 키를 생성하거나 사용할 수 없습니다. 키 스토어의 연결 상태는 DISCONNECTED이며 사용자 지정 키 스토어의 KMS 키 상태Unavailable입니다(PendingDeletion가 아닌 경우). 언제든지 AWS CloudHSM 키 스토어를 다시 연결할 수 있습니다.

참고

AWS CloudHSM 키 스토어는 키 스토어가 연결되지 않았거나 사용자가 연결을 직접 해제한 경우에만 DISCONNECTED 상태가 됩니다. AWS CloudHSM 키 스토어 연결 상태가 CONNECTED인데 사용에 문제가 있을 경우 연결된 AWS CloudHSM 클러스터가 작동 중이며 최소 한 개의 활성 HSM을 포함하고 있는지 확인하세요. 연결 실패에 대한 도움말은 사용자 지정 키 스토어 문제 해결 단원을 참조하십시오.

사용자 지정 키 스토어를 연결 해제하면 키 스토어의 KMS 키를 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 데이터 키로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 리소스를 보호하기 위해 데이터 키를 사용하는 AWS 서비스에 영향을 미칩니다. 세부 정보는 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향을 참조하세요.

참고

사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.

사용자 지정 키 스토어의 연결 해제가 미치는 영향을 정확하게 예측하려면 사용자 지정 키 스토어에서 KMS 키를 식별하고 과거 사용량을 판단합니다.

다음과 같은 이유로 AWS CloudHSM 키 스토어를 연결 해제할 수 있습니다.

  • kmsuser 암호를 교체하려면 AWS KMS는 AWS CloudHSM 클러스터에 연결될 때마다 kmsuser 암호를 변경합니다. 강제로 암호 교체를 수행하려면 연결을 해제하고 다시 연결하기만 하면 됩니다.

  • AWS CloudHSM 클러스터의 KMS 키에 대한 키 구성 요소를 감사하려면 사용자 지정 키 스토어의 연결을 끊으면 AWS KMS가 AWS CloudHSM 클라이언트의 kmsuser 암호화 사용자 계정에서 로그아웃합니다. 따라서 사용자는 kmsuser CU로 클러스터에 로그인하여 KMS 키의 키 구성 요소를 감사 및 관리할 수 있습니다.

  • AWS CloudHSM 키 스토어에서 모든 KMS 키를 즉시 비활성화하려면 다음을 수행하세요. AWS Management Console 또는 DisableKey 작업을 사용하여 AWS CloudHSM 키 스토어에서 KMS 키를 KMS 키를 비활성화했다가 다시 활성화할 수 있습니다. 이러한 작업들은 신속하게 완료되지만, 한 번에 하나의 KMS 키에 대해서만 수행됩니다. AWS CloudHSM 키 스토어를 연결 해제하면 즉시 AWS CloudHSM 키 스토어에서 모든 KMS 키의 키 상태가 Unavailable로 변경되면서 암호화 작업에서 사용이 불가능한 상태가 됩니다.

  • 실패한 연결 시도를 복구하려면. AWS CloudHSM 키 스토어를 연결하려는 시도가 실패하면(사용자 지정 키 스토어의 연결 상태가 FAILED) 다시 연결을 시도하기에 앞서 AWS CloudHSM 키 스토어를 연결 해제해야 합니다.

AWS CloudHSM 키 저장소 연결 해제

AWS KMS 콘솔에서 키 저장소의 연결을 해제하거나 DisconnectCustomKeyStore 작업을 사용하여 AWS CloudHSM 키 저장소의 연결을 해제할 수 있습니다.

AWS KMS 콘솔에서 연결된 AWS CloudHSM 키 저장소를 연결 해제하려면 사용자 지정 키 스토어 페이지에서 먼저 AWS CloudHSM 키 저장소를 선택합니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 Custom key stores(사용자 지정 키 스토어), AWS CloudHSM key stores를 선택합니다.

  4. 연결 해제하려는 외부 키 스토어의 행을 선택합니다.

  5. Key store actions(키 스토어 작업) 메뉴에서 Disconnect(연결 해제)를 선택합니다.

작업이 완료되면 연결 상태가 연결 해제 중에서 연결 해제됨으로 변경됩니다. 작업이 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 사용자 지정 키 스토어 문제 해결 섹션을 참조하십시오.

연결된 AWS CloudHSM 키 스토어를 연결 해제하려면 DisconnectCustomKeyStore 작업을 사용합니다. 작업이 성공하지 않으면 AWS KMS가 HTTP 200 응답 및 속성을 포함하지 않는 JSON 객체를 반환합니다.

이 섹션의 예제는 AWS Command Line Interface(AWS CLI)를 사용하지만, 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

이 예제에서는 AWS CloudHSM 키 스토어를 연결 해제합니다. 이 예제를 실행하기 앞서 예제 ID를 유효한 ID로 바꿉니다.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM 키 스토어가 연결 해제되어 있는지 확인하려면 DescribeCustomKeyStores 작업을 사용합니다. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 응답을 제한할 수 있습니다. ConnectionState 값이 DISCONNECTED라는 것은 AWS CloudHSM 클러스터에 이 예제 AWS CloudHSM 키 스토어가 연결되어 있지 않다는 것을 의미합니다.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "<certificate string appears here>" ], }