주요 재료 1단계 가져오기: 생성 AWS KMS 고객 마스터 키 (CMK) 키 재료 없음 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

주요 재료 1단계 가져오기: 생성 AWS KMS 고객 마스터 키 (CMK) 키 재료 없음

기본적으로 AWS KMS 만들 때 고객 마스터 키 (CMK) ). 대신 자신의 키 자료를 가져오려면 CMK 키 재료 없이. 이 두 가지 유형의 CMKs by the CMK의 원산지. 언제 AWS KMS 여러분, CMK의 원산지는 AWS_KMS. 여러분이 CMK 핵심 재료, CMK의 원산지는 EXTERNAL이(가) 주요 자재가 AWS KMS.

A CMK 주요 자재는 가져오기 보류 중 을(를) 사용할 수 없습니다. 사용하려면 키 구성 요소를 가져와야 합니다(추후 설명). 키 자료를 가져올 때 CMK의 주요 상태 변경 사항 활성화됨. 키 상태에 대한 자세한 내용은 주요 상태: 귀하의 CMK 단원을 참조하십시오.

을(를) 생성하려면 CMK 주요 재료를 사용하여 AWS Management 콘솔 또는 AWS KMS API HTTP 요청을 제출하거나 AWS SDK 또는 명령줄 도구 중 하나를 통해 바로 API를 사용할 수 있습니다.

AWS KMS 항목을 AWS CloudTrail 로그인 생성 CMK, 공개 키 다운로드 및 가져오기, 그리고 키 재료 가져오기. AWS KMS 가져온 키 자료를 삭제하거나 AWS KMS 만료된 키 재료 삭제.

생성 CMK 주요 재료(console)

귀하는 AWS Management 콘솔 만들기 위해 CMK 키 재료 없이. 이를 수행하기 전에 콘솔을 구성하여 원산지 열 목록 CMKs. 가져온 키의 Origin(오리진) 값은 외부입니다.

귀하는 CMK 가져온 키 자료의 경우 한 번만. 동일한 키 자료를 기존의 CMK, 참조: 단계 2: 퍼블릭 키 및 가져오기 토큰 다운로드.

  1. AWS Management 콘솔에 로그인한 후 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. [Create key]를 선택합니다.

  5. Symmetric(대칭)을 선택합니다. 키 재료를 팔레트 메트릭으로 가져올 수 없습니다. CMK.

  6. 고급 옵션을 확장합니다.

  7. Key material origin(키 구성 요소 오리진)에서 외부를 선택합니다.

    그런 다음 [I understand the security, availability, and durability implications of using an imported key] 옆 확인란을 선택하여, 가져온 키 구성 요소를 사용하는 것의 의미를 이해했음을 표시합니다. 이러한 의미에 대한 자세한 내용은 가져온 키 구성 요소 정보 단원을 참조하십시오.

    다음을 선택합니다.

  8. 별칭을 입력하고 (선택적으로) CMK.

    다음을 선택합니다.

  9. : 선택. On 태그 추가 페이지, 추가 또는 분류를 CMK.

    다음을 선택합니다.

  10. 에서 핵심 관리자 섹션 IAM 사용자 및 역할을 관리할 수 있는 CMK. 자세한 정보는 주요 관리자가 CMK 단원을 참조하십시오.

    참고

    IAM 정책을 통해 IAM 사용자 및 역할 권한이 CMK.

  11. (선택 사항) 선택된 것을 방지하기 위해 IAM 사용자 및 역할 삭제 CMK, 키 삭제 페이지 맨 아래에 있는 섹션을 키 관리자가 이 키 삭제 허용 확인란을 선택합니다.

    다음을 선택합니다.

  12. 에서 이 계정 섹션 IAM 사용자 및 역할 AWS 계정을 사용하여 CMK 에서 암호화 작업. 자세한 정보는 주요 사용자가 CMK 단원을 참조하십시오.

    참고

    IAM 정책을 통해 IAM 사용자 및 역할 사용 권한 CMK.

  13. (선택 사항) 다른 허용 가능 AWS 사용할 계정 CMK 암호화 작업에 사용됩니다. 이렇게 하려면 페이지 하단의 Other AWS accounts(다른 AWS 계정) 섹션에서 Add another AWS account(다른 AWS 계정 추가)를 선택하고 외부 계정의 AWS 계정 식별 번호를 입력합니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.

    참고

    외부 계정의 원칙을 사용하여 CMK외부 계정의 관리자는 IAM 이 권한을 제공하는 정책. 자세한 정보는 다른 계정의 사용자가 CMK를 사용하도록 허용 단원을 참조하십시오.

    다음을 선택합니다.

  14. On 주요 정책 검토 및 편집 새 항목에 대한 정책 문서를 검토하고 편집합니다. CMK. 모두 마쳤으면 완료를 선택합니다.

    작업이 성공하면 CMK 키 재료 없이. 상태는 Pending import(가져오기 보류 중)입니다. 지금 프로세스를 계속하려면 퍼블릭 키 및 가져오기 토큰 다운로드(console) 단원을 참조하십시오. 나중에 프로세스를 계속하려면 취소를 선택합니다.

그런 다음 단계 2: 퍼블릭 키 및 가져오기 토큰 다운로드.

생성 CMK 주요 재료(AWS KMS API)

사용 방법 AWS KMS API 대칭을 CMK 키 재료 없이 생성키 요청 Origin 매개변수 설정 EXTERNAL. 다음 예제에서는 이 작업을 수행하는 방법을 보여 줍니다. AWS Command Line Interface (AWS CLI).

$ aws kms create-key --origin EXTERNAL

명령이 제대로 실행되면 다음과 비슷한 출력이 표시됩니다. The CMK의 Origin is EXTERNAL 그리고 KeyState is PendingImport.

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333" "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

복사 CMK나중에 단계에서 사용할 명령 출력에서 의 키 ID를 다음 단계로 이동합니다. 단계 2: 퍼블릭 키 및 가져오기 토큰 다운로드.