키 구성 요소 가져오기 생성AWS KMS키 구성 요소 없이 CMK (고객 마스터 키) - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 구성 요소 가져오기 생성AWS KMS키 구성 요소 없이 CMK (고객 마스터 키)

기본적으로, 고객 마스터 키(CMK)를 생성하면 AWS KMS가 자동으로 키 구성 요소를 생성합니다. 대신 고유한 키 구성 요소를 가져오려면, 키 구성 요소 없이 CMK를 만드는 것으로 시작합니다. CMK의 오리진으로 이 두 가지 유형의 CMK를 구별할 수 있습니다. AWS KMS가 자동으로 키 구성 요소를 생성하면 CMK의 오리진은 AWS_KMS입니다. 키 구성 요소 없이 CMK를 생성하면 CMK의 오리진이 EXTERNAL인데, 이는 키 구성 요소가 AWS KMS 외부에서 생성되었음을 나타냅니다.

키 구성 요소가 없는 CMK는 가져오기 보류 중 상태에 있으며, 사용할 수 없습니다. 사용하려면 키 구성 요소를 가져와야 합니다(추후 설명). 키 구성 요소를 가져오면 CMK의 키 상태가 활성으로 변경됩니다. 키 상태에 대한 자세한 내용은 키 상태 CMK에 미치는 영향 단원을 참조하십시오.

AWS Management Console 또는 AWS KMS API를 이용해 키 구성 요소 없이 CMK를 생성할 수 있습니다. HTTP 요청을 제출하거나 AWS SDK 또는 명령줄 도구 중 하나를 통해 바로 API를 사용할 수 있습니다.

AWS KMS에서 항목을 기록합니다.AWS CloudTrail로그인 할 때CMK를 생성합니다,퍼블릭 키 및 가져오기 토큰 다운로드, 및키 구성 요소 가져오기.AWS KMS는 가져온 키 재질을 삭제하거나AWS KMS 만료된 키 구성 요소 삭제.

키 구성 요소를 가져와서 다중 리전 키 생성에 대한 자세한 내용은다중 영역 키로 키 재질 가져오기.

키 구성 요소 없이 CMK 생성 (콘솔)

AWS Management Console을 이용해 키 구성 요소 없이 CMK를 생성할 수 있습니다. 이를 수행하기 전에 CMK 목록에 Origin(오리진) 열이 표시되도록 콘솔을 구성할 수 있습니다. 가져온 키의 Origin(오리진) 값은 외부입니다.

가져온 키 구성 요소에 대해 한 번만 CMK를 생성하면 됩니다. 기존 CMK에 동일한 키 구성 요소를 다시 가져오려면 2단계: 퍼블릭 키 및 가져오기 토큰을 다운로드하려면 단원을 참조하십시오.

  1. 에 로그인합니다.AWS Management Console를 열려면AWS Key Management Service(AWS KMS) 콘솔에서https://console.aws.amazon.com/kms.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. [Create key]를 선택합니다.

  5. Symmetric(대칭)을 선택합니다. 키 구성 요소는 비대칭 CMK로 가져올 수 없습니다.

  6. 고급 옵션을 확장합니다.

  7. Key material origin(키 구성 요소 오리진)에서 외부를 선택합니다.

    그런 다음 [I understand the security, availability, and durability implications of using an imported key] 옆 확인란을 선택하여, 가져온 키 구성 요소를 사용하는 것의 의미를 이해했음을 표시합니다. 이러한 의미에 대한 자세한 내용은 가져온 키 구성 요소 정보 단원을 참조하십시오.

  8. 사용다중 리전 복제섹션을 사용하여 키 재질이 없는 다중 지역 기본 키만 만들 수 있습니다. 세부 정보는 다중 영역 키로 키 재질 가져오기 단원을 참조하십시오.

  9. [Next]를 선택합니다.

  10. CMK의 별칭과 설명(옵션)을 입력합니다.

    [Next]를 선택합니다.

  11. (선택). 태그 추가 페이지에서 CMK를 식별 및 분류하는 태그를 추가합니다.

    [Next]를 선택합니다.

  12. 에서키 관리자섹션에서 CMK를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다. 자세한 내용은 키 관리자가 CMK를 관리하도록 허용 단원을 참조하세요.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 CMK 관리 권한을 제공할 수 있습니다.

  13. (선택 사항) 선택한 IAM 사용자 및 역할이 CMK를 삭제하지 못하도록 하려면키 삭제페이지 하단의 섹션에서키 관리자가 이 키를 삭제하도록 허용확인란의 선택을 취소합니다.

    [Next]를 선택합니다.

  14. 에서이 계정섹션에서 IAM 사용자 및 역할을 선택합니다. AWS 계정 에서 CMK를 사용할 수있는 사람암호화 작업. 자세한 내용은 키 사용자가 CMK를 사용하도록 허용 단원을 참조하세요.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 CMK 사용 권한을 제공할 수 있습니다.

  15. (선택 사항) 다른 AWS 계정 암호화 작업에서 이 CMK를 사용하도록 설정합니다. 이렇게 하려면기타 AWS 계정 페이지 하단의 섹션에서Add another this AWS 계정 를 입력하고 AWS 계정 외부 계정의 식별 번호입니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.

    참고

    외부 계정의 보안 주체가 CMK를 사용하도록 허용하려면 외부 계정 관리자가 이러한 권한을 제공하는 IAM 정책을 생성해야 합니다. 자세한 내용은 다른 계정의 사용자가 CMK를 사용하도록 허용 단원을 참조하세요.

    [Next]를 선택합니다.

  16. 선택한 키 설정을 검토합니다. 여전히 돌아가서 모든 설정을 변경할 수 있습니다.

  17. 모두 마쳤으면Finish키를 생성하려면

    작업이 성공하면 키 구성 요소 없이 CMK를 생성한 것입니다. 상태는 Pending import(가져오기 보류 중)입니다. 지금 프로세스를 계속하려면 퍼블릭 키 및 가져오기 토큰 다운로드 (콘솔) 단원을 참조하십시오. 나중에 프로세스를 계속하려면 취소를 선택합니다.

다음: 2단계: 퍼블릭 키 및 가져오기 토큰을 다운로드하려면.

키 구성 요소 없이 CMK 생성 (AWS KMSAPI)

를 사용하려면AWS KMSAPI키 구성 요소 없이 CMK를 생성하려면CreateKey와 함께 요청을Origin매개 변수 세트EXTERNAL. 다음 예에서는 AWS Command Line Interface(AWS CLI)에서 이 작업을 수행하는 방법을 보여줍니다.

$ aws kms create-key --origin EXTERNAL

명령이 제대로 실행되면 다음과 비슷한 출력이 표시됩니다. CMK의 OriginEXTERNAL이고 KeyStatePendingImport입니다.

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

이후 단계에 사용할 명령 출력에서 CMK의 키 ID를 복사한 후 2단계: 퍼블릭 키 및 가져오기 토큰을 다운로드하려면(으)로 넘어갑니다.