가져온 키 구성 요소 삭제 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가져온 키 구성 요소 삭제

키 구성 요소를 가져올 때 만료 날짜를 지정할 수 있습니다. 키 구성 요소가 만료되면 AWS KMS는 키 구성 요소를 삭제하고 고객 마스터 키(CMK)를 사용할 수 없게 됩니다. 온디맨드 방식으로 키 구성 요소를 삭제할 수도 있습니다. 키 구성 요소가 만료될 때까지 기다리거나 수동으로 삭제하든, 결과는 동일합니다. AWS KMS는 키 구성 요소를 삭제하고, CMK의 키 상태가 가져오기 보류 중으로 변경되며, CMK를 사용할 수 없습니다. 를 다시 사용하려면 동일한 키 구성 요소를 다시 가져와야 합니다.CMK

키 구성 요소를 삭제하면 CMK에 즉시 영향을 미치지만, 동일한 키 구성 요소를 로 다시 가져와서CMK 키 구성 요소의 삭제를 되돌릴 수 있습니다. 반대로 CMK 삭제는 되돌릴 수 없습니다. 키 삭제를 예약하고 필요한 대기 기간이 만료되면 는 키 구성 요소 및 AWS KMS에 연결된 모든 메타데이터를 삭제합니다.CMK

AWS Management 콘솔 또는 AWS KMS API를 이용해 키 구성 요소를 삭제할 수 있습니다. HTTP 요청을 만들거나 AWS SDK, AWS Command Line Interface() 또는 AWS CLIPowerShell용 AWS 도구을 사용하여 API를 직접 사용할 수 있습니다.

AWS KMS는 가져온 키 구성 요소를 삭제할 때와 AWS CloudTrail가 만료된 키 구성 요소를 삭제할 때 로그에 항목을 기록합니다.AWS KMS

키 구성 요소 삭제가 AWS KMS와 통합된 AWS 서비스에 미치는 영향

키 구성 요소를 삭제하면 CMK를 즉시 사용할 수 없게 됩니다. 그러나 AWS 서비스에서 사용 중인 어떤 데이터 키도 즉시 영향을 받지 않습니다. 즉, 키 구성 요소를 삭제하면 AWS로 보호되는 모든 데이터 및 CMK 리소스에 즉시 영향을 주지는 않지만 결국 영향을 받게 됩니다.

여러 AWS 서비스가 AWS KMS와 통합되어 데이터를 보호합니다. Amazon EBS 및 와 같은 일부 서비스는 Amazon Redshift에서 고객 마스터 키()를 사용하여 CMK데이터 키AWS KMS를 생성한 다음 데이터 키를 사용하여 데이터를 암호화합니다.데이터 키 보호하는 데이터가 현재 사용 중인 동안에는 이러한 일반 텍스트 데이터 키가 메모리에 유지됩니다.

예를 들어 다음 시나리오를 고려해 보십시오.

  1. 암호화된 EBS 볼륨을 생성하고 가져온 키 구성 요소로 CMK를 지정합니다. Amazon EBS는 AWS KMS를 사용하여 해당 볼륨에 대한 CMK암호화된 데이터 키를 생성하도록 에 요청합니다. Amazon EBS는 해당 볼륨으로 암호화된 데이터 키를 저장합니다.

  2. EBS 볼륨을 EC2 인스턴스에 연결하면 Amazon EC2가 AWS KMS를 사용하여 EBS 볼륨의 암호화된 데이터 키를 암호화 해제하도록 CMK에 요청합니다. Amazon EC2는 하이퍼바이저 메모리에 일반 텍스트 데이터 키를 저장하고 이를 사용하여 디스크 I/O를 EBS 볼륨으로 암호화합니다. EBS 볼륨이 EC2 인스턴스에 연결되어 있는 동안에는 데이터 키가 메모리에 유지됩니다.

  3. 가져온 키 구성 요소를 CMK에서 삭제하면 사용할 수 없게 됩니다. 이로 인해 EC2 인스턴스나 EBS 볼륨에 즉시 영향이 미치지 않습니다. 그 이유는 볼륨이 인스턴스에 연결되어 있는 동안 Amazon EC2가 —이 아닌CMK일반 텍스트 데이터 키를 사용하여 모든 디스크 I/O를 암호화하기 때문입니다.—

  4. 단, 암호화된 EBS 볼륨이 EC2 인스턴스에서 삭제되면 Amazon EBS는 일반 텍스트 키를 메모리에서 제거합니다. 다음에 암호화된 EBS 볼륨이 EC2 인스턴스에 연결될 때 Amazon EBS가 CMK를 사용하여 볼륨의 암호화된 데이터 키를 해독할 수 없기 때문에 연결이 실패합니다. EBS 볼륨을 다시 사용하려면 동일한 키 구성 요소를 CMK로 다시 가져와야 합니다.

키 구성 요소 삭제(console)

AWS Management 콘솔을 사용해 키 구성 요소를 삭제할 수 있습니다.

  1. AWS Management 콘솔에 로그인한 후 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 다음 중 하나를 수행합니다.

    • 가져온 키 구성 요소가 있는 CMK의 확인란을 선택합니다. [Key actions], [Delete key material]을 선택합니다.

    • 키 구성 요소를 가져온 CMK의 별칭 또는 키 ID를 선택합니다. Key material(키 구성 요소) 탭을 선택한 다음 Delete key material(키 구성 요소 삭제)을 선택합니다.

  5. 키 구성 요소를 삭제하고자 함을 확인한 후 [Delete key material]을 선택합니다. 키 상태CMK에 해당하는 의 상태가 Pending import(가져오기 보류 중)으로 변경됩니다.

키 구성 요소 삭제(AWS KMS API)

API를 사용하여 키 구성 요소를 삭제하려면 AWS KMS 요청을 보냅니다.DeleteImportedKeyMaterial 다음 예에서는 AWS CLI에서 이 작업을 수행하는 방법을 보여줍니다.

키 구성 요소를 삭제할 1234abcd-12ab-34cd-56ef-1234567890ab의 키 ID로 CMK를 바꿉니다. 의 키 ID 또는 ARN을 사용할 수 있지만 이 작업에 대한 별칭을 사용할 수 없습니다.CMK

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab