키 구성 요소 가져오기 4단계: 키 구성 요소 가져오기 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 구성 요소 가져오기 4단계: 키 구성 요소 가져오기

키 구성 요소를 암호화한 후 AWS KMS 고객 마스터 키(CMK)와 함께 사용할 키 구성 요소를 가져올 수 있습니다. 키 구성 요소를 가져오려면 3단계: 키 구성 요소 암호화에서 암호화한 키 구성 요소와 2단계: 퍼블릭 키 및 가져오기 토큰을 다운로드하려면에서 다운로드한 가져오기 토큰을 업로드합니다. 퍼블릭 키와 가져오기 토큰을 다운로드할 때 지정한 CMK로 키 구성 요소를 가져와야 합니다.

키 구성 요소를 가져올 때 선택적으로 키 구성 요소의 만료 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면, AWS KMS가 키 구성 요소를 삭제하고 CMK를 사용할 수 없게 됩니다. CMK를 다시 사용하려면 키 구성 요소를 다시 가져와야 합니다.

키 구성 요소를 성공적으로 가져온 후 CMK의 키 상태가 활성으로 변경되고 CMK를 사용할 수 있습니다.

AWS Management Console 또는 AWS KMS API를 이용해 키 구성 요소를 가져올 수 있습니다. HTTP 요청을 제출하거나 HTTP 요청을 제출하는AWSSDK,AWS Command Line Interface또는AWS Tools for PowerShell.

키 재질을 가져올 때ImportKeyMaterial 구성 요소 입력이 (가)AWS CloudTrail로그를 사용하여ImportKeyMaterial작업을 사용합니다. CloudTrail 항목은AWS KMS콘솔 또는AWS KMSAPI를 사용합니다.

키 구성 요소 가져오기 (콘솔)

AWS Management Console을 사용해 키 구성 요소를 가져올 수 있습니다.

  1. Download wrapping key and import token(래핑 키 및 가져오기 토큰 다운로드) 페이지에 있는 경우에는 단계 8(으)로 넘어갑니다.

  2. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  3. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  4. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  5. 퍼블릭 키와 가져오기 토큰을 다운로드한 CMK의 키 ID 또는 별칭을 선택합니다.

  6. 선택을 선택합니다.암호화 구성탭을 클릭하고 해당 값을 봅니다. 탭은 CMK에 대한 세부 정보 페이지에일반 구성섹션을 참조하십시오.

    키 유형Symmetric(대칭)이고 Origin(오리진)EXTERNAL(외부)인 CMK에만 키 구성 요소를 가져올 수 있습니다. 키 구성 요소를 가져와서 CMK를 생성하는 방법은 AWS Key Management Service(AWS KMS)에서 키 구성 요소 가져오기 단원을 참조하십시오.

  7. 선택을 선택합니다.키 구성 요소탭을 클릭한 다음키 구성 요소 업로드.

    키 구성 요소탭이 있는 CMK에 대해서만 나타납니다.키 유형대칭OriginEXTERNAL.

  8. Encrypted key material and import token(암호화된 키 구성 요소 및 가져오기 토큰) 섹션의 Wrapped key material(래핑된 키 구성 요소)에서 파일 선택을 선택합니다. 그런 다음, 래핑(암호화)된 키 구성 요소가 포함된 파일을 업로드합니다.

  9. Encrypted key material and import token(암호화된 키 구성 요소 및 가져오기 토큰) 섹션의 Import token(토큰 가져오기)에서 파일 선택을 선택합니다. 다운로드한 가져오기 토큰이 포함된 파일을 업로드합니다.

  10. Expiration option(만료 옵션) 섹션에서 키 구성 요소의 만료 여부를 결정합니다. 만료 날짜와 시간을 설정하려면 Key material expires(키 구성 요소 만료)를 선택하고 캘린더를 사용해 날짜와 시간을 선택합니다.

  11. [Finish] 또는 [Upload key material]을 선택합니다.

키 구성 요소 가져오기 (AWS KMSAPI)

AWS KMS API를 이용해 키 구성 요소를 가져오려면 ImportKeyMaterial 요청을 보냅니다. 다음 예에서는 AWS CLI에서 이 작업을 수행하는 방법을 보여줍니다.

이 예시에서는 키 구성 요소의 만료 시간을 지정합니다. 만료일 없이 키 구성 요소를 가져오려면 KEY_MATERIAL_EXPIRESKEY_MATERIAL_DOES_NOT_EXPIRE로 바꾸고 --valid-to 파라미터를 생략합니다.

이 예제를 사용하려면

  1. 1234abcd-12ab-34cd-56ef-1234567890ab을 퍼블릭 키와 가져오기 토큰을 다운로드할 때 사용하는 CMK의 키 ID로 바꿉니다. CMK를 식별하려면, 이 CMK의 키 ID 또는 ARN을 사용합니다. 이 작업에 대한 별칭을 사용할 수 없습니다.

  2. EncryptedKeyMaterial.bin을 암호화된 키 구성 요소가 포함된 파일 이름으로 바꿉니다.

  3. ImportToken.bin을 가져오기 토큰이 포함된 파일 이름으로 바꿉니다.

$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2019-09-17T12:00:00-08:00