사용자 지정 키 스토어 연결 및 연결 해제 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 키 스토어 연결 및 연결 해제

새로운 사용자 지정 키 스토어는 연결이 되지 않습니다. 사용자 지정 키 스토어에 고객 마스터 키(CMK)를 생성 및 사용할 수 있으려면 먼저 연결 AWS CloudHSM 클러스터에 이를 연결해야 합니다. 사용자 지정 키 스토어를 언제든 연결 및 연결 해제할 수 있으며 연결 상태를 확인할 수 있습니다.

사용자 지정 키 스토어를 연결할 필요는 없습니다. 사용자 지정 키 스토어를 연결 해제 상태로 무기한 남겨두고 사용 시에만 이를 연결할 수 있습니다. 하지만 설정이 올바른지, 연결이 가능한지 확인하기 위해 정기적으로 연결을 테스트하고 싶을 수 있습니다.

참고

사용자 지정 키 스토어는 키 스토어가 연결되지 않은 경우 또는 연결을 직접 해제한 경우에만 DISCONNECTED 상태가 됩니다. 사용자 지정 키 스토어 상태가 CONNECTED인데 사용에 문제가 있을 경우 연결된 AWS CloudHSM 클러스터가 작동 중이며 최소 한 개의 활성 HSM을 포함하고 있는지 확인하십시오. 연결 실패에 대한 도움말은 사용자 지정 키 스토어 문제 해결 단원을 참조하십시오.

사용자 지정 키 스토어 연결

사용자 지정 키 스토어를 연결하면 AWS KMS가 연결 AWS CloudHSM 클러스터를 찾아서 연결하고 AWS CloudHSM 클라이언트에 kmsuser CU(Crypto User)로 로그인한 다음, kmsuser 암호를 교체합니다. AWS KMS는 사용자 지정 키 스토어가 연결되어 있는 한 AWS CloudHSM 클라이언트에 로그인한 상태로 유지됩니다.

연결을 설정하려면AWS KMS를 생성하는보안 그룹명명 된kms-<custom key store ID>클러스터의 Virtual Private Cloud (VPC) 에 로그인합니다. 보안 그룹은 클라우드 보안 그룹에서 인바운드 트래픽을 허용하는 단일 규칙을 가지고 있습니다. 또한 AWS KMS는 클러스터의 프라이빗 서브넷의 각 가용 영역에서 탄력적 네트워크 인터페이스(ENI)를 생성합니다. AWS KMS는 kms-<cluster ID> 보안 그룹 및 클러스터의 보안 그룹에 ENI를 추가합니다. 각 ENI에 대한 설명은 KMS managed ENI for cluster <cluster-ID>입니다.

연결 프로세스를 완료하는 데 최대 20분이 걸릴 수 있습니다.

사용자 지정 키 스토어를 연결하기 전에 요구 사항을 충족하는지 확인합니다.

  • 연결 AWS CloudHSM 클러스터에는 최소 하나의 활성 HSM이 포함되어 있어야 합니다. 클러스터에서 HSM의 수를 찾으려면 AWS CloudHSM 콘솔에서 클러스터를 보거나 DescribeClusters 작업을 사용합니다. 필요한 경우 HSM을 추가할 수 있습니다.

  • 클러스터에는 kmsuser CU(Crypto User) 계정이 있어야 하지만 사용자 지정 키 스토어를 연결할 때 해당 CU가 클러스터에 로그인할 수 없습니다. 로그아웃에 대한 도움말은 로그아웃 및 재연결 방법 단원을 참조하십시오.

  • 사용자 지정 키 스토어의 연결 상태는 DISCONNECTING 또는 FAILED가 될 수 없습니다. 할 수 있습니다.연결 상태를 확인합니다.를 사용하여 콘솔에 로그인합니다.DescribeCustomKeyStores작업을 수행합니다. 연결 상태가 FAILED이면 사용자 지정 키 스토어의 연결을 해제한 다음 다시 연결합니다.

사용자 지정 키 스토어가 연결되면 여기에서 CMK를 생성하고 암호화 작업에서 기존 CMK를 사용할 수 있습니다.

사용자 지정 키 스토어 연결 해제

사용자 지정 키 스토어의 연결을 해제하면 AWS KMS가 AWS CloudHSM 클라이언트에서 로그아웃하고 연결 AWS CloudHSM 클러스터와의 연결이 해제되며, 연결을 지원하기 위해 생성된 네트워크 인프라를 제거합니다.

사용자 지정 키 스토어의 연결이 해제된 동안 사용자가 사용자 지정 키 스토어와 고객 마스터 키(CMK)를 관리할 수 있지만, 사용자 지정 키 스토어에서 CMK를 생성 또는 사용할 수 없습니다. 키 스토어의 상태는 DISCONNECTED이며 사용자 지정 키 스토어의 키 상태Unavailable입니다(PendingDeletion가 아닌 경우). 언제든지 사용자 지정 키 스토어를 다시 연결할 수 있습니다.

참고

사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 생성하거나, 암호화 작업을 위해 기존 CMK를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.

키 스토어의 연결 해제가 미치는 영향을 정확하게 예측하려면 사용자 지정 키 스토어에서 CMK를 식별하고 과거 사용량을 판단합니다.

다음과 같은 이유로 사용자 지정 키 스토어의 연결을 해제할 수 있습니다.

  • kmsuser 암호를 교체하려면 AWS KMS는 AWS CloudHSM 클러스터에 연결될 때마다 kmsuser 암호를 변경합니다. 강제로 암호 교체를 수행하려면 연결을 해제하고 다시 연결하기만 하면 됩니다.

  • 주요 자료를 감사하려면에서 CMK에 대한AWS CloudHSM클러스터에 로그인합니다. 사용자 지정 키 스토어의 연결을 해제하면AWS KMS에서 로그아웃kmsuser암호 사용자계정AWS CloudHSM클라이언트를 사용합니다. 따라서 사용자는 kmsuser CU로 클러스터에 로그인하여 CMK의 키 구성 요소를 감사 및 관리할 수 있습니다.

  • 사용자 지정 키 스토어에서 모든 CMK를 즉시 비활성화하려면 할 수 있습니다.CMK 비활성화 및 재활성화를 사용하여 사용자 지정 키 스토어의AWS Management Console또는DisableKey작업을 수행합니다. 이러한 작업들은 신속하게 완료되지만, 한 번에 하나의 CMK에 대해서만 수행됩니다. 연결을 해제하면 즉시 사용자 지정 키에서 모든 CMK의 키 상태가 Unavailable로 변경되면서 암호화 작업에서 사용이 불가능한 상태가 됩니다.

  • 실패한 연결 시도를 복구하려면. 사용자 지정 키 스토어를 연결하려는 시도가 실패하면(사용자 지정 키 스토어의 연결 상태가 FAILED) 다시 연결을 시도하기에 앞서 사용자 지정 키 스토어의 연결을 해제해야 합니다.

사용자 지정 키 스토어 연결(콘솔)

AWS Management Console에서 사용자 지정 키 스토어를 연결하려면 Custom key stores(사용자 지정 키 스토어) 페이지에서 사용자 지정 키 스토어를 선택하는 것부터 시작합니다. 이 프로세스가 완료되는 데 최대 20분이 걸릴 수 있습니다.

  1. 에 로그인합니다.AWS Management Console를 열려면AWS Key Management Service(AWS KMS) 콘솔에서https://console.aws.amazon.com/kms.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 사용자 지정 키 스토어를 선택합니다.

  4. 연결하고 싶은 사용자 지정 키 스토어를 선택합니다.

  5. 사용자 지정 스토어의 상태가 FAILED(실패)이면 연결에 앞서 사용자 지정 키 스토어의 연결을 해제해야 합니다.

  6. Key store actions(키 스토어 작업) 메뉴에서 Connect custom key store(사용자 지정 키 스토어 연결)를 선택합니다.

AWS KMS는 사용자 지정 키 스토어를 연결하는 프로세스를 시작합니다. 또한 연결 AWS CloudHSM 클러스터를 찾고, 필요한 네트워크 인프라를 구축하여 연결하고, kmsuser CU로 AWS CloudHSM 클러스터에 로그인하고, kmsuser 암호를 교체합니다. 이 작업이 완료되면 연결 상태가 CONNECTED(연결 상태)로 변경됩니다.

작업이 실패하면 실패 원인을 설명하는 오류 메시지가 나타납니다. 다시 연결을 시도하기에 앞서 사용자 지정 키 스토어의 연결 상태를 확인합니다. 연결 상태가 FAILED(실패)이면 다시 연결을 하기 앞서 사용자 지정 키 스토어의 연결을 해제해야 합니다. 도움이 필요한 경우 사용자 지정 키 스토어 문제 해결 단원을 참조하십시오.

다음: 사용자 지정 키 스토어에서 CMK 생성.

사용자 지정 키 스토어 연결(API)

연결이 해제된 사용자 지정 키 스토어를 연결하려면 ConnectCustomKeyStore 작업을 사용합니다. 연결 AWS CloudHSM 클러스터에 최소 하나의 활성 HSM이 포함되어 있어야 하고, 연결 상태는 FAILED가 될 수 없습니다.

연결 프로세스를 완료하는 데 최대 20분이 걸릴 수 있습니다. 빨리 실패하지 않는 한, 이 작업은 속성 없이 HTTP 200 응답 및 JSON 객체를 반환합니다. 하지만 이러한 초기 응답은 연결이 성공했음을 의미하지는 않습니다. 사용자 지정 키 스토어의 연결 상태를 확인하려면 DescribeCustomKeyStores 작업을 사용합니다.

이 단원의 예제는 AWS Command Line Interface(AWS CLI)를 사용하지만, 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

사용자 지정 키 스토어를 식별하려면 사용자 지정 키 스토어 ID를 사용합니다. 콘솔의 Custom key stores(사용자 지정 키 스토어) 페이지에서, 또는 DescribeCustomKeyStores 작업을 사용하여 ID를 찾을 수 있습니다. 이 예제를 실행하기 앞서 예제 ID를 유효한 ID로 바꿉니다.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

사용자 지정 키 스토어가 연결되어 있는지 확인하려면 DescribeCustomKeyStores 작업을 사용합니다. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 응답을 제한할 수 있습니다. ConnectionState 값이 CONNECTED라는 것은 AWS CloudHSM 클러스터에 사용자 지정 키 스토어가 연결되어 있다는 것을 의미합니다.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

ConnectionState 값이 실패인 경우, ConnectionErrorCode 요소는 실패 원인을 나타냅니다. 이 경우 AWS KMS는 클러스터 ID가 cluster-1a23b4cdefg인 계정에서 AWS CloudHSM 클러스터를 찾을 수 없었습니다. 클러스터를 삭제한 경우에는 원래 클러스터의 백업에서 이를 복원한 다음, 사용자 지정 키 스토어의 클러스터 ID를 편집할 수 있습니다.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" "ConnectionErrorCode": "CLUSTER_NOT_FOUND" ], }

다음: 사용자 지정 키 스토어에서 CMK 생성.

사용자 지정 키 스토어 연결 해제(콘솔)

AWS Management Console에서 연결된 사용자 지정 키 스토어의 연결을 해제하려면 Custom Key Stores(사용자 지정 키 스토어) 페이지에서 사용자 지정 키 스토어를 선택하는 것부터 시작합니다.

  1. 에 로그인합니다.AWS Management Console를 열려면AWS Key Management Service(AWS KMS) 콘솔에서https://console.aws.amazon.com/kms.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 사용자 지정 키 스토어를 선택합니다.

  4. 연결을 해제하고 싶은 사용자 지정 키 스토어를 선택합니다.

  5. Key store actions(키 스토어 작업) 메뉴에서 Disconnect custom key store(사용자 지정 키 스토어 연결 해제)를 선택합니다.

작업이 완료되면 연결 상태가 DISCONNECTING(연결 해제 중)에서 DISCONNECTED(연결 해제됨)로 변경됩니다. 작업이 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 사용자 지정 키 스토어 문제 해결 단원을 참조하십시오.

사용자 지정 키 스토어 연결 해제(API)

연결된 사용자 지정 키 스토어의 연결을 해제하려면DisconnectCustomKeyStore작업을 수행합니다. 작업이 성공하지 않으면 AWS KMS가 HTTP 200 응답 및 속성을 포함하지 않는 JSON 객체를 반환합니다.

이 단원의 예제는 AWS Command Line Interface(AWS CLI)를 사용하지만, 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

이 예제에서는 사용자 지정 키 스토어의 연결을 해제합니다. 이 예제를 실행하기 앞서 예제 ID를 유효한 ID로 바꿉니다.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

사용자 지정 키 스토어가 연결 해제되어 있는지 확인하려면 DescribeCustomKeyStores 작업을 사용합니다. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 응답을 제한할 수 있습니다. ConnectionState 값이 DISCONNECTED라는 것은 AWS CloudHSM 클러스터에 사용자 지정 키 스토어가 연결되어 있지 않다는 것을 의미합니다.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>" ], }