키 구성 요소 가져오기 1단계: 키 구성 요소 없이 AWS KMS key 생성 - AWS Key Management Service

키 구성 요소 가져오기 1단계: 키 구성 요소 없이 AWS KMS key 생성

기본적으로, AWS KMS key을 생성하면 AWS KMS가 자동으로 키 구성 요소를 생성합니다. 대신 고유한 키 구성 요소를 가져오려면, 키 구성 요소 없이 KMS 키를 만드는 것으로 시작합니다. KMS 키의 출처(origin)로 이 두 가지 유형의 KMS 키를 구별할 수 있습니다. AWS KMS가 자동으로 키 구성 요소를 생성하면 KMS 키의 출처는 AWS_KMS입니다. 키 구성 요소 없이 KMS 키를 생성하면 KMS 키의 출처가 EXTERNAL인데, 이는 키 구성 요소가 AWS KMS 외부에서 생성되었음을 나타냅니다.

키 구성 요소가 없는 KMS 키는 가져오기 보류 중 상태에 있으며, 사용할 수 없습니다. 사용하려면 키 구성 요소를 가져와야 합니다(추후 설명). 키 구성 요소를 가져오면 KMS 키의 키 상태가 활성(enabled)으로 변경됩니다. 키 상태에 대한 자세한 내용은 키 상태: KMS 키에 미치는 영향 단원을 참조하십시오.

AWS Management Console 또는 AWS KMS API를 이용해 키 구성 요소 없이 KMS 키를 생성할 수 있습니다. AWS SDK, AWS Command Line Interface 또는 AWS Tools for PowerShell을 사용하거나 직접HTTP 요청을 수행해 API를 사용할 수 있습니다.

AWS KMS는 KMS 키를 생성하고, 공개 키 및 가져오기 토큰을 다운로드하고 키 구성 요소를 가져올 때 AWS CloudTrail 로그에 항목을 기록합니다. AWS KMS는 또한 가져온 키 자료를 삭제하거나 AWS KMS는 만료된 키 자료를 삭제할 때 항목을 기록합니다.

키 구성 요소를 가져와서 다중 리전 키를 생성하는 방법은 다중 리전 키로 키 구성 요소 가져오기 단원을 참조하십시오.

키 구성 요소 없이 KMS 키 생성(콘솔)

AWS Management Console을 이용해 키 구성 요소 없이 KMS 키를 생성할 수 있습니다. 이를 수행하기 전에 KMS 키 목록에 출처(Origin) 열이 표시되도록 콘솔을 구성할 수 있습니다. 가져온 키의 Origin(오리진) 값은 외부입니다.

가져온 키 구성 요소에 대해 한 번만 KMS 키를 생성하면 됩니다. 기존 KMS 키에 동일한 키 구성 요소를 다시 가져오려면 2단계: 퍼블릭 키 다운로드 및 토큰 가져오기 단원을 참조하십시오.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. [Create key]를 선택합니다.

  5. Symmetric(대칭)을 선택합니다. 키 구성 요소는 비대칭 KMS 키로 가져올 수 없습니다.

  6. 고급 옵션을 확장합니다.

  7. Key material origin(키 구성 요소 오리진)에서 외부를 선택합니다.

    그런 다음 [I understand the security, availability, and durability implications of using an imported key] 옆 확인란을 선택하여, 가져온 키 구성 요소를 사용하는 것의 의미를 이해했음을 표시합니다. 이러한 의미에 대한 자세한 내용은 가져온 키 구성 요소 정보 단원을 참조하십시오.

  8. 다중 리전 복제 섹션을 사용하여 키 구성 요소 없이 다중 리전 기본 키를 생성할 수 있습니다. 자세한 내용은 다중 리전 키로 키 구성 요소 가져오기 단원을 참조하십시오.

  9. 다음(Next)을 선택합니다.

  10. KMS 키의 별칭과 설명(옵션)을 입력합니다.

    다음(Next)을 선택합니다.

  11. (선택 사항). 태그 추가 페이지에서 KMS 키를 식별 및 분류하는 태그를 추가합니다.

    다음(Next)을 선택합니다.

  12. 키 관리자(Key Administrators) 섹션에서 KMS 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다. 자세한 정보는 키 관리자가 KMS 키를 관리하도록 허용 단원을 참조하세요.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 KMS 키 관리 권한을 제공할 수 있습니다.

  13. (선택 사항) 선택한 IAM 사용자와 역할이 페이지 하단의 키 삭제 섹션에서 이 KMS 키를 삭제하지 못하도록 하려면 키 관리자가 이 키를 삭제하도록 허용(Allow key administrators to delete this key) 확인란의 선택을 취소합니다.

    다음(Next)을 선택합니다.

  14. 이 계정 섹션에서 암호화 작업에 KMS 키를 사용할 수 있는 이 AWS 계정 의 IAM 사용자 및 역할을 선택합니다. 자세한 정보는 키 사용자가 KMS 키를 사용하도록 허용 단원을 참조하세요.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 KMS 키 사용 권한을 제공할 수 있습니다.

  15. (선택 사항) 다른 AWS 계정 이 암호화 작업에서 이 KMS 키를 사용하도록 허용할 수 있습니다. 이렇게 하려면 페이지 하단의 다른 AWS 계정 섹션에서 다른 AWS 계정 추가를 선택하고 외부 계정의 AWS 계정 ID를 입력합니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.

    참고

    외부 계정의 보안 주체가 KMS 키를 사용하도록 허용하려면 외부 계정 관리자가 이러한 권한을 제공하는 IAM 정책을 생성해야 합니다. 자세한 정보는 다른 계정의 사용자가 CMK를 사용하도록 허용 단원을 참조하세요.

    다음(Next)을 선택합니다.

  16. 선택한 키 설정을 검토합니다. 여전히 돌아가서 모든 설정을 변경할 수 있습니다.

  17. 완료했으면 마침(Finish)을 선택하여 키를 생성합니다.

    작업이 성공하면 키 구성 요소 없이 KMS 키를 생성한 것입니다. 상태는 Pending import(가져오기 보류 중)입니다. 지금 프로세스를 계속하려면 퍼블릭 키 및 가져오기 토큰 다운로드(콘솔) 단원을 참조하십시오. 나중에 프로세스를 계속하려면 취소를 선택합니다.

다음: 2단계: 퍼블릭 키 다운로드 및 토큰 가져오기.

키 구성 요소 없이 KMS 키 생성(AWS KMS API)

AWS KMS API를 사용하여 키 구성 요소가 없는 대칭 KMS 키를 생성하려면 Origin 파라미터가 EXTERNAL로 설정된 상태에서 CreateKey 요청을 보냅니다. 다음 예에서는 AWS Command Line Interface(AWS CLI)에서 이 작업을 수행하는 방법을 보여줍니다.

$ aws kms create-key --origin EXTERNAL

명령이 제대로 실행되면 다음과 비슷한 출력이 표시됩니다. AWS KMS 키의 OriginEXTERNAL이고 KeyStatePendingImport입니다.

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

이후 단계에 사용할 명령 출력에서 KMS 키의 키 ID를 복사한 후 2단계: 퍼블릭 키 다운로드 및 토큰 가져오기으로 넘어갑니다.