가져온 키 구성 요소 삭제 - AWS Key Management Service

가져온 키 구성 요소 삭제

언제든 KMS 키에서 가져온 키 구성 요소를 삭제할 수 있습니다. 또한 만료 날짜가 있는 가져온 키 구성 요소가 만료되면 AWS KMS는 키 구성 요소를 삭제합니다. 어느 경우든 AWS KMS는 키 구성 요소를 즉시 삭제하고, KMS 키의 키 상태가져오기 보류 중으로 변경되며, KMS 키는 어떠한 암호화 작업에도 사용할 수 없습니다.

하지만 이러한 작업을 수행해도 KMS 키는 삭제되지 않습니다. KMS 키를 다시 사용하려면 KMS 키로 동일한 키 구성 요소를 다시 가져와야 합니다. 반면 KMS 키 삭제 작업은 되돌릴 수 없습니다. 키 삭제를 예약하고 필요한 대기 기간이 만료될 경우 AWS KMS가 키 구성 요소를 삭제하고 KMS 키와 관련된 모든 메타데이터를 삭제합니다.

AWS Management Console 또는 AWS KMS API를 이용해 키 구성 요소를 삭제할 수 있습니다. AWS SDK, AWS Command Line Interface(AWS CLI) 또는 AWS Tools for PowerShell을 사용하거나 직접 HTTP 요청을 수행해 API를 사용할 수 있습니다.

가져온 키 구성 요소를 삭제하고 AWS KMS가 만료된 키 구성 요소를 삭제할 때 AWS KMS에서 AWS CloudTrail 로그에 항목을 기록합니다.

키 구성 요소 삭제가 AWS와 통합된 AWS KMS 서비스에 미치는 영향

키 구성 요소를 삭제하는 즉시 KMS 키를 사용할 수 없게 됩니다. 그러나, AWS 서비스가 사용하는 데이터 키는 즉시 영향을 받지 않습니다. 이는 키 구성 요소를 삭제해도 모든 데이터와 AWS 리소스에 즉시 영향을 주지는 않으며, 결국에는 영향을 받는다 하더라도 당분간은 KMS 키 하에서 보호된다는 뜻입니다.

여러 AWS 서비스가 AWS KMS와 통합되어 데이터를 보호합니다. Amazon EBSAmazon Redshift와 같은 이러한 서비스 중 일부는 AWS KMS에서 AWS KMS key(KMS 키)를 사용하여 데이터 키를 생성한 다음, 데이터 키를 사용하여 데이터를 암호화합니다. 보호하는 데이터가 현재 사용 중인 동안에는 이러한 일반 텍스트 데이터 키가 메모리에 유지됩니다.

예를 들어 다음 시나리오를 고려해 보십시오.

  1. 암호화된 EBS 볼륨을 생성하고 가져온 키 구성 요소로 KMS 키를 지정합니다. Amazon EBS가 AWS KMS에 KMS 키를 사용하여 볼륨에 대한 암호화된 데이터 키를 생성하도록 요청합니다. Amazon EBS는 볼륨과 함께 암호화된 데이터 키를 저장합니다.

  2. EC2 인스턴스에 EBS 볼륨을 연결하면 Amazon EC2는 AWS KMS에 KMS 키를 사용하여 EBS 볼륨의 암호화된 데이터 키를 복호화하도록 요청합니다. Amazon EC2는 하이퍼바이저 메모리에 일반 텍스트 데이터 키를 저장하고 이를 사용하여 EBS 볼륨에 대한 디스크 I/O를 암호화합니다. EBS 볼륨이 EC2 인스턴스에 연결되어 있는 동안에는 데이터 키가 메모리에 유지됩니다.

  3. 가져온 키 구성 요소를 KMS 키에서 삭제하면 사용할 수 없게 됩니다. 이로 인해 EC2 인스턴스나 EBS 볼륨에 즉시 영향이 미치지 않습니다. 그 이유는 Amazon EC2 KMS 키가 아닌 일반 텍스트 데이터 키를 사용하여 볼륨이 인스턴스에 연결되어 있는 동안 모든 디스크 I/O를 암호화하기 때문입니다.

  4. 단, 암호화된 EBS 볼륨이 EC2 인스턴스에서 삭제되면 Amazon EBS는 일반 텍스트 키를 메모리에서 제거합니다. 다음에 암호화된 EBS 볼륨을 EC2 인스턴스에 연결할 때 Amazon EBS가 KMS 키를 사용하여 볼륨의 암호화된 데이터 키를 해독하지 못하므로 연결에 실패합니다. EBS 볼륨을 다시 사용하려면 KMS 키로 동일한 키 구성 요소를 다시 가져와야 합니다.

키 구성 요소 삭제(콘솔)

AWS Management Console을 사용해 키 구성 요소를 삭제할 수 있습니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 다음 중 하나를 수행하세요.

    • 키 구성 요소를 가져온 KMS 키에 대한 확인란을 선택합니다. 키 작업(Key actions), 키 구성 요소 삭제(Delete key material)를 선택합니다.

    • 키 구성 요소를 가져온 KMS 키의 별칭 또는 키 ID를 선택합니다. 키 구성 요소(Key material) 탭을 선택한 다음 키 구성 요소 삭제(Delete key material)를 선택합니다.

  5. 키 구성 요소를 삭제하고자 함을 확인한 후 [Delete key material]을 선택합니다. 키 상태에 해당되는 KMS 키의 상태가 가져오기 보류 중(Pending import)으로 변경됩니다.

키 구성 요소 삭제(AWS KMS API)

AWS KMS API를 이용해 키 구성 요소를 삭제하려면 DeleteImportedKeyMaterial 요청을 보냅니다. 다음 예에서는 AWS CLI에서 이 작업을 수행하는 방법을 보여줍니다.

키 구성 요소를 삭제할 KMS 키의 키 ID를 1234abcd-12ab-34cd-56ef-1234567890ab로 바꿉니다. KMS 키의 키 ID나 ARN을 사용할 수 있지만, 이 작업에 대한 별칭을 사용할 수 없습니다.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab