가져온 키 구성 요소 삭제 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가져온 키 구성 요소 삭제

키 구성 요소를 가져올 때 만료 날짜를 지정할 수 있습니다. 키 구성 요소가 만료되면, AWS KMS가 키 구성 요소를 삭제하고 고객 마스터 키(CMK)를 사용할 수 없게 됩니다. 온디맨드 방식으로 키 구성 요소를 삭제할 수도 있습니다. 키 구성 요소가 만료하기를 기다리든 수동으로 삭제하든, 결과는 동일합니다. AWS KMS가 키 구성 요소를 삭제하면 CMK의 키 상태가 가져오기 보류 중으로 변경되고 CMK를 사용할 수 없게 됩니다. CMK를 다시 사용하려면 동일한 키 구성 요소를 다시 가져와야 합니다.

키 구성 요소를 삭제하면 즉시 CMK에 영향을 미치지만동일한 키 재질 다시 가져오기를 CMK에 추가합니다. 반면 CMK 삭제 작업은 되돌릴 수 없습니다. 키 삭제를 예약하고 필요한 대기 기간이 만료될 경우 AWS KMS가 키 구성 요소를 삭제하고 CMK와 관련된 모든 메타데이터를 삭제합니다.

AWS Management Console 또는 AWS KMS API를 이용해 키 구성 요소를 삭제할 수 있습니다. HTTP 요청을 제출하거나AWSSDK,AWS Command Line Interface(AWS CLI) 또는AWS Tools for PowerShell.

AWS KMS에서 항목을 기록합니다.AWS CloudTrail로그는 가져온 키 재질을 삭제하고AWS KMS만료된 키 구성 요소 삭제.

키 구성 요소 삭제가 AWS KMS와 통합된 AWS 서비스에 미치는 영향

키 구성 요소를 삭제하는 즉시 CMK를 사용할 수 없게 됩니다. 그러나, 모든데이터 키그AWS서비스가 사용 중인 경우 즉시 영향을 받지 않습니다. 이는 키 구성 요소를 삭제해도 모든 데이터와 AWS 리소스에 즉시 영향을 주지는 않으며, 결국에는 영향을 받는다 하더라도 당분간은 CMK 하에서 보호된다는 뜻입니다.

여러 AWS 서비스가 AWS KMS와 통합되어 데이터를 보호합니다. 이러한 서비스 중 일부는Amazon EBSAmazon Redshift를 사용하려면고객 마스터 키(CMK)AWS KMS를 생성하려면데이터 키를 클릭한 다음 데이터 키를 사용하여 데이터를 암호화합니다. 보호하는 데이터가 현재 사용 중인 동안에는 이러한 일반 텍스트 데이터 키가 메모리에 유지됩니다.

예를 들어 다음 시나리오를 고려해 보십시오.

  1. 암호화된 EBS 볼륨을 생성하고 가져온 키 구성 요소로 CMK를 지정합니다. Amazon EBS에서AWS KMS를 사용하여 CMK를암호화된 데이터 키 생성를 선택합니다. Amazon EBS가 암호화한 데이터 키를 볼륨과 함께 저장합니다.

  2. EBS 볼륨을 EC2 인스턴스에 연결하면 Amazon EC2AWS KMS를 사용하여 CMK를 사용하여 EBS 볼륨의 암호화된 데이터 키를 해독할 수 있습니다. Amazon EC2 하이퍼바이저 메모리에서 일반 텍스트 데이터 키를 저장하고, 이를 사용하여 디스크 I/O를 EBS 볼륨으로 암호화합니다. EBS 볼륨이 EC2 인스턴스에 연결되어 있는 동안에는 데이터 키가 메모리에 유지됩니다.

  3. 가져온 키 구성 요소를 CMK에서 삭제하면 사용할 수 없게 됩니다. 이로 인해 EC2 인스턴스나 EBS 볼륨에 즉시 영향이 미치지 않습니다. 그 이유는 Amazon EC2 가 볼륨이 인스턴스에 연결되어 있는 동안 모든 디스크 I/O를 암호화하기 위해 CMK가 아닌 일반 텍스트 데이터 키를 사용하기 때문입니다.

  4. 하지만 암호화된 EBS 볼륨을 EC2 인스턴스에서 삭제하면 Amazon EBS가 일반 텍스트 키를 메모리에서 제거합니다. 다음에 암호화된 EBS 볼륨을 EC2 인스턴스에 연결할 때 가 Amazon EBS가 CMK를 사용하여 볼륨의 암호화된 데이터 키를 해독하지 못하므로 연결에 실패합니다. EBS 볼륨을 다시 사용하려면 CMK로 동일한 키 구성 요소를 다시 가져와야 합니다.

키 구성 요소 삭제 (콘솔)

AWS Management Console을 사용해 키 구성 요소를 삭제할 수 있습니다.

  1. 에 로그인합니다.AWS Management Console를 열고AWS Key Management Service(AWS KMS) 콘솔에서https://console.aws.amazon.com/kms.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 다음 중 하나를 수행합니다.

    • 키 구성 요소를 가져온 CMK에 대한 확인란을 선택합니다. [Key actions], [Delete key material]을 선택합니다.

    • 키 구성 요소를 가져온 CMK의 별칭 또는 키 ID를 선택합니다. 선택을 선택합니다.키 구성 요소탭을 클릭한 다음키 구성 요소 삭제.

  5. 키 구성 요소를 삭제하고자 함을 확인한 후 [Delete key material]을 선택합니다. 키 상태에 해당되는 CMK의 상태가 Pending import(가져오기 보류 중)으로 변경됩니다.

키 구성 요소 삭제 (AWS KMSAPI)

AWS KMS API를 이용해 키 구성 요소를 삭제하려면 DeleteImportedKeyMaterial 요청을 보냅니다. 다음 예에서는 AWS CLI에서 이 작업을 수행하는 방법을 보여줍니다.

키 구성 요소를 삭제할 CMK의 키 ID를 1234abcd-12ab-34cd-56ef-1234567890ab로 바꿉니다. CMK의 키 ID나 ARN을 사용할 수 있지만, 이 작업에 대한 별칭을 사용할 수 없습니다.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab