키 구성 요소 가져오기 1단계: 키 구성 요소 없이 AWS KMS key 생성 - AWS Key Management Service

키 구성 요소 가져오기 1단계: 키 구성 요소 없이 AWS KMS key 생성

기본적으로 AWS KMS key를 생성하면 AWS KMS가 키 구성 요소를 생성합니다. 고유한 키 구성 요소를 대신 가져오려면, 키 구성 요소 없이 KMS 키를 만드는 것으로 시작합니다. 그런 다음 키 구성 요소를 가져옵니다. AWS Management Console 또는 CreateKey 작업을 사용하여 키 구성 요소 없이 KMS 키를 생성할 수 있습니다.

키 구성 요소 없이 키를 생성하려면 키 사양을 SYMMETRIC_DEFAULT(기본값), 오리진을 EXTERNAL로 지정합니다. KMS 키의 키 사양 및 오리진은 변경 불가능한 값입니다. 생성한 후에는 가져온 키 구성 요소용으로 설계된 KMS 키를 AWS KMS 또는 다른 소스의 키 구성 요소가 있는 KMS 키로 변환할 수 없습니다.

오리진이 EXTERNAL이고 키 구성 요소가 없는 KMS 키의 키 상태PendingImport입니다. KMS 키는 PendingImport 상태로 무기한 유지될 수 있습니다. 하지만 암호화 작업에서 PendingImport 상태의 KMS 키를 사용할 수 없습니다. 키 구성 요소를 가져올 때 KMS 키의 키 상태는 활성화됨으로 변경되고, 암호화 작업에서 사용할 수 있습니다.

AWS KMS는 KMS 키를 생성하고, 공개 키 및 가져오기 토큰을 다운로드하고 키 구성 요소를 가져올 때 AWS CloudTrail 로그에 항목을 기록합니다. AWS KMS는 또한 가져온 키 자료를 삭제하거나 AWS KMS는 만료된 키 자료를 삭제할 때 항목을 기록합니다.

키 구성 요소를 가져와서 다중 리전 키를 생성하는 방법은 다중 리전 키로 키 구성 요소 가져오기 단원을 참조하십시오.

키 구성 요소 없이 KMS 키 생성(콘솔)

AWS Management Console을 이용해 키 구성 요소 없이 대칭 암호화 KMS 키를 생성할 수 있습니다. 이를 수행하기 전에 KMS 키 목록에 출처(Origin) 열이 표시되도록 콘솔을 구성할 수 있습니다. 가져온 키의 Origin(오리진) 값은 외부입니다.

가져온 키 구성 요소에 대해 한 번만 KMS 키를 생성하면 됩니다. 기존 KMS 키에 동일한 키 구성 요소를 다시 가져오려면 2단계: 퍼블릭 키 다운로드 및 토큰 가져오기 단원을 참조하십시오.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 키 생성(Create key)을 선택합니다.

  5. 대칭(Symmetric)을 선택합니다.

    키 구성 요소는 비대칭 KMS 키로 가져올 수 없습니다.

  6. 키 사용(Key usage)에서 암호화 및 복호화(Encrypt and decrypt) 옵션이 선택됩니다. 변경할 수 없습니다.

    키 구성 요소는 HMAC KMS 키로 가져올 수 없습니다.

  7. 고급 옵션을 확장합니다.

  8. 키 구성 요소 출처(Key material origin)에서 외부(External)를 선택합니다.

    사용자 지정 키 스토어에서 KMS 키에 키 구성 요소를 가져올 수 없습니다.

    그런 다음 [I understand the security, availability, and durability implications of using an imported key] 옆 확인란을 선택하여, 가져온 키 구성 요소를 사용하는 것의 의미를 이해했음을 표시합니다. 이러한 의미에 대한 자세한 내용은 가져온 키 구성 요소 정보 단원을 참조하세요.

  9. 기본적으로 이 절차에서는 선택한 리전에 KMS 키를 생성합니다.

    키 구성 요소 없이 다중 리전 기본 키를 생성하려면 리전 구분 섹션에서 다중 리전 키(Multi-Region key)를 선택합니다. 자세한 내용은 다중 리전 키로 키 구성 요소 가져오기 단원을 참조하세요.

  10. 다음을 선택합니다.

  11. KMS 키의 별칭과 설명(옵션)을 입력합니다.

    다음을 선택합니다.

  12. (선택 사항). 태그 추가 페이지에서 KMS 키를 식별 및 분류하는 태그를 추가합니다.

    다음을 선택합니다.

  13. 키 관리자(Key Administrators) 섹션에서 KMS 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다. 자세한 정보는 키 관리자가 KMS 키를 관리하도록 허용을 참조하십시오.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 KMS 키 관리 권한을 제공할 수 있습니다.

  14. (선택 사항) 선택한 IAM 사용자와 역할이 페이지 하단의 키 삭제 섹션에서 이 KMS 키를 삭제하지 못하도록 하려면 키 관리자가 이 키를 삭제하도록 허용(Allow key administrators to delete this key) 확인란의 선택을 취소합니다.

    다음을 선택합니다.

  15. 이 계정 섹션에서 암호화 작업에 KMS 키를 사용할 수 있는 이 AWS 계정의 IAM 사용자 및 역할을 선택합니다. 자세한 정보는 키 사용자가 KMS 키를 사용하도록 허용을 참조하십시오.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 KMS 키 사용 권한을 제공할 수 있습니다.

  16. (선택 사항) 다른 AWS 계정이 암호화 작업에서 이 KMS 키를 사용하도록 허용할 수 있습니다. 이렇게 하려면 페이지 하단의 기타(Other)AWS 계정 섹션에서 다른 AWS 계정 추가(Add another)를 선택하고 외부 계정의 AWS 계정 ID를 입력합니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.

    참고

    외부 계정의 보안 주체가 KMS 키를 사용하도록 허용하려면 외부 계정 관리자가 이러한 권한을 제공하는 IAM 정책을 생성해야 합니다. 자세한 정보는 다른 계정의 사용자가 CMK를 사용하도록 허용을 참조하십시오.

    다음을 선택합니다.

  17. 선택한 키 설정을 검토합니다. 여전히 돌아가서 모든 설정을 변경할 수 있습니다.

  18. 완료했으면 마침(Finish)을 선택하여 키를 생성합니다.

    작업이 성공하면 키 구성 요소 없이 KMS 키를 생성한 것입니다. 상태는 Pending import(가져오기 보류 중)입니다. 지금 프로세스를 계속하려면 퍼블릭 키 및 가져오기 토큰 다운로드(콘솔) 단원을 참조하십시오. 나중에 프로세스를 계속하려면 취소를 선택합니다.

다음: 2단계: 퍼블릭 키 다운로드 및 토큰 가져오기.

키 구성 요소 없이 KMS 키 생성(AWS KMS API)

AWS KMS API를 사용하여 키 구성 요소가 없는 대칭 암호화 KMS 키를 생성하려면 Origin 파라미터가 EXTERNAL로 설정된 상태에서 CreateKey 요청을 보냅니다. 다음 예에서는 AWS Command Line Interface(AWS CLI)에서 이 작업을 수행하는 방법을 보여줍니다.

$ aws kms create-key --origin EXTERNAL

명령이 제대로 실행되면 다음과 비슷한 출력이 표시됩니다. AWS KMS 키의 OriginEXTERNAL이고 KeyStatePendingImport입니다.

{ "KeyMetadata": { "Origin": "EXTERNAL", "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Description": "", "Enabled": false, "MultiRegion": false, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "CreationDate": 1568289600.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

이후 단계에 사용할 명령 출력에서 KeyId 값을 복사한 후 2단계: 퍼블릭 키 다운로드 및 토큰 가져오기으로 넘어갑니다.