키 구성 요소 가져오기 4단계: 키 구성 요소 가져오기 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 구성 요소 가져오기 4단계: 키 구성 요소 가져오기

키 구성 요소를 암호화한 후 AWS KMS(고객 마스터 키)에서 사용할 키 구성 요소를 가져올 수 있습니다.CMK 키 구성 요소를 가져오려면 단계 3. 키 재료 암호화에서 암호화한 키 구성 요소와 단계 2: 퍼블릭 키 및 가져오기 토큰 다운로드에서 다운로드한 가져오기 토큰을 업로드합니다. 퍼블릭 키와 가져오기 토큰을 다운로드할 때 지정한 것과 동일한 CMK로 키 구성 요소를 가져와야 합니다.

키 구성 요소를 가져올 때 선택적으로 키 구성 요소의 만료 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면 AWS KMS는 키 구성 요소를 삭제하고 CMK를 사용할 수 없게 됩니다. 를 다시 사용하려면 키 구성 요소를 다시 가져와야 합니다.CMK

키 구성 요소를 성공적으로 가져오면 CMK의 키 상태가 활성으로 변경되고 CMK를 사용할 수 있습니다.

AWS Management 콘솔 또는 AWS KMS API를 이용해 키 구성 요소를 가져올 수 있습니다. HTTP 요청을 하거나 AWS SDKs 또는 명령줄 도구 중 하나를 통해 직접 API를 사용할 수 있습니다.

키 구성 요소를 가져올 때 ImportKeyMaterial 항목을 로그에 추가하여 AWS CloudTrail 작업을 기록합니다.ImportKeyMaterial 항목은 CloudTrail 콘솔 또는 AWS KMS API 중 어떤 것을 사용하든 상관없이 동일합니다.AWS KMS

키 구성 요소 가져오기(console)

AWS Management 콘솔을 사용해 키 구성 요소를 가져올 수 있습니다.

  1. Download wrapping key and import token(래핑 키 및 가져오기 토큰 다운로드) 페이지에 있는 경우에는 단계 8(으)로 넘어갑니다.

  2. AWS Management 콘솔에 로그인한 후 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  3. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  4. 탐색 창에서 고객 관리형 키를 선택합니다.

  5. 퍼블릭 키와 가져오기 토큰을 다운로드한 CMK의 키 ID 또는 별칭을 선택합니다.

  6. Cryptographic configuration(암호화 구성) 탭을 선택하고 해당 값을 봅니다. 탭은 CMK일반 구성 섹션 아래에 있는 에 대한 세부 정보 페이지에 있습니다.

    키 유형CMKs이 Symmetric(대칭)이고 Origin(오리진)EXTERNAL(외부)로만 키 구성 요소를 가져올 수 있습니다. 가져온 키 구성 요소로 CMKs를 생성하는 방법에 대한 자세한 내용은 AWS Key Management Service(AWS KMS)에서 키 구성 요소 가져오기 단원을 참조하십시오.

  7. Key material(키 구성 요소) 탭을 선택한 다음 Upload key material(키 구성 요소 업로드)을 선택합니다.

    Key material(키 구성 요소) 탭은 Key type(키 유형)CMKs이 Symmetric(대칭)이고 Origin(오리진) 값이 EXTERNAL(외부)에만 표시됩니다.

  8. Encrypted key material and import token(암호화된 키 구성 요소 및 가져오기 토큰) 섹션의 Wrapped key material(래핑된 키 구성 요소)에서 파일 선택을 선택합니다. 그런 다음, 래핑(암호화)된 키 구성 요소가 포함된 파일을 업로드합니다.

  9. Encrypted key material and import token(암호화된 키 구성 요소 및 가져오기 토큰) 섹션의 Import token(토큰 가져오기)에서 파일 선택을 선택합니다. 다운로드한 가져오기 토큰이 포함된 파일을 업로드합니다.

  10. Expiration option(만료 옵션) 섹션에서 키 구성 요소의 만료 여부를 결정합니다. 만료 날짜와 시간을 설정하려면 Key material expires(키 구성 요소 만료)를 선택하고 캘린더를 사용해 날짜와 시간을 선택합니다.

  11. [Finish] 또는 [Upload key material]을 선택합니다.

키 구성 요소 가져오기(AWS KMS API)

API를 사용하여 키 구성 요소를 가져오려면 AWS KMS 요청을 보냅니다.ImportKeyMaterial 다음 예에서는 AWS CLI에서 이 작업을 수행하는 방법을 보여줍니다.

이 예시에서는 키 구성 요소의 만료 시간을 지정합니다. 만료일 없이 키 구성 요소를 가져오려면 KEY_MATERIAL_EXPIRESKEY_MATERIAL_DOES_NOT_EXPIRE로 바꾸고 --valid-to 파라미터를 생략합니다.

이 예제를 사용하려면

  1. 을 퍼블릭 키와 가져오기 토큰을 다운로드할 때 사용한 1234abcd-12ab-34cd-56ef-1234567890ab의 키 ID로 바꿉니다.CMK 를 식별하려면 키 ID 또는 ARN을 사용합니다.CMK 이 작업에 대한 별칭을 사용할 수 없습니다.

  2. EncryptedKeyMaterial.bin을 암호화된 키 구성 요소가 포함된 파일 이름으로 바꿉니다.

  3. ImportToken.bin을 가져오기 토큰이 포함된 파일 이름으로 바꿉니다.

$ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --encrypted-key-material fileb://EncryptedKeyMaterial.bin \ --import-token fileb://ImportToken.bin \ --expiration-model KEY_MATERIAL_EXPIRES \ --valid-to 2019-09-17T12:00:00-08:00