가져온 키 구성 요소 관리 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가져온 키 구성 요소 관리

이 주제에서는 키 구성 요소를 KMS 키로 가져오고 다시 가져오는 방법과 자동으로 만료되는 가져온 키 구성 요소를 생성하는 방법을 설명합니다.

키 구성 요소 가져오기 개요

다음 개요에서는 AWS KMS로 키 구성 요소를 가져오는 방법을 설명합니다. 프로세스의 각 단계에 대한 자세한 정보는 해당 주제를 참조하세요.

  1. 키 구성 요소 없이 KMS 키 생성 - 오리진은 EXTERNAL이어야 합니다. 의 키 출처는 키가 가져온 키 구성 요소용으로 설계되었으며 KMS 키에 대한 키 구성 요소를 생성할 수 EXTERNAL 없음을 나타냅니다. AWS KMS 이후 단계에 이 KMS 키로 고유한 키 구성 요소를 가져오게 됩니다.

    가져오는 키 자료는 관련 키의 키 사양과 호환되어야 합니다. AWS KMS 호환성에 대한 자세한 내용은 가져온 키 구성 요소에 대한 요구 사항를 참조하세요.

  2. 래핑 퍼블릭 키 및 가져오기 토큰 다운로드 – 1단계를 완료한 후 래핑 퍼블릭 키와 가져오기 토큰을 다운로드합니다. 이러한 항목은 주요 자료를 가져오는 동안 보호합니다. AWS KMS

    이 단계에서는 RSA 래핑 키의 유형(‘키 사양’)과 AWS KMS로 전송되는 데이터를 암호화하는 데 사용할 래핑 알고리즘을 선택합니다. 동일한 키 구성 요소를 가져오거나 다시 가져올 때마다 다른 래핑 키 사양과 래핑 키 알고리즘을 선택할 수 있습니다.

  3. 키 구성 요소 암호화 – 2단계에서 다운로드한 래핑 퍼블릭 키를 사용하여 고유한 시스템에 생성한 키 구성 요소를 암호화합니다.

  4. 키 구성 요소 가져오기 – 3단계에 생성하여 암호화한 키 구성 요소와 2단계에 다운로드한 가져오기 토큰을 업로드합니다.

    이 단계에서 선택적 만료 시간을 설정할 수 있습니다. 가져온 키 구성 요소가 만료되면 AWS KMS 삭제되고 KMS 키는 사용할 수 없게 됩니다. KMS 키를 계속 사용하려면 동일한 키 구성 요소를 다시 가져와야 합니다.

    가져오기 작업이 성공적으로 완료되면 KMS 키의 키 상태가 PendingImport에서 Enabled로 변경됩니다. 이제 암호화 작업에 KMS 키를 사용할 수 있습니다.

AWS KMS KMS 키를 생성하고, 래핑 공개 키와 가져오기 토큰을 다운로드하고, 키 자료를 가져올 때 AWS CloudTrail 로그에 항목을 기록합니다. AWS KMS 또한 가져온 키 구성 요소를 AWS KMS 삭제하거나 만료된 키 구성 요소를 삭제할 때 항목을 기록합니다.

키 구성 요소 다시 가져오기

가져온 키 구성 요소가 있는 KMS 키를 관리하는 경우, 키 구성 요소를 다시 가져와야 할 수도 있습니다. 만료되거나 삭제된 키 구성 요소를 바꾸거나 키 구성 요소의 만료 모델 또는 만료 날짜를 변경하기 위해 키 구성 요소를 다시 가져올 수 있습니다.

KMS 키로 키 구성 요소를 가져오면, KMS 키는 키 구성 요소와 영구적으로 연결됩니다. 동일한 키 구성 요소를 가져오되, 다른 키 구성 요소를 KMS 키로 가져올 수는 없습니다. 키 구성 요소를 교체할 수 없으며 AWS KMS 는 가져온 키 구성 요소가 있는 KMS 키에 대한 키 구성 요소를 생성할 수 없습니다.

보안 요구 사항을 충족하는 일정에 따라 언제든지 키 구성 요소를 다시 가져올 수 있습니다. 키 구성 요소가 만료 시간에 도달하거나 근접할 때까지 기다릴 필요가 없습니다.

키 구성 요소를 다시 가져오려면 처음 키 구성 요소를 가져올 때와 동일한 절차를 사용하되, 다음 예외를 적용합니다.

  • 새 KMS 키를 만드는 대신 기존 KMS 키를 사용합니다. 가져오기 절차의 1단계를 건너뛸 수 있습니다.

  • 키 구성 요소를 다시 가져올 때 만료 모델 및 만료 날짜를 변경할 수 있습니다.

키 구성 요소를 KMS 키로 가져올 때마다 해당 KMS 키의 가져오기 토큰과 새 래핑 키를 다운로드하여 사용해야 합니다. 래핑 절차는 키 구성 요소의 내용에 영향을 주지 않으므로 다른 래핑 퍼블릭 키와 다른 래핑 알고리즘을 사용하여 동일한 키 구성 요소를 가져올 수 있습니다.

가져온 키 구성 요소가 있는 KMS 키 식별

키 구성 요소 없이 KMS 키를 만드는 경우, KMS 키의 Origin 속성 값이 EXTERNAL이 되고 이 값은 변경할 수 없습니다. 다른 키 상태와 달리, Origin 값은 키 구성 요소 존재 여부에 따라 달라지지 않습니다.

EXTERNAL 오리진 값을 사용하여 가져온 키 구성 요소용으로 설계된 KMS 키를 식별할 수 있습니다. AWS KMS 콘솔에서 또는 작업을 사용하여 키 출처를 찾을 수 있습니다. DescribeKey 콘솔 또는 API를 사용하여 키 구성 요소의 만료 여부와 시기와 같은 키 구성 요소의 속성을 볼 수도 있습니다.

가져온 키 구성 요소가 있는 KMS 키를 식별하려면(콘솔)

  1. https://console.aws.amazon.com/kms 에서 AWS KMS 콘솔을 엽니다.

  2. 를 변경하려면 AWS 리전페이지 오른쪽 상단에 있는 지역 선택기를 사용하십시오.

  3. 다음 방법 중 하나를 사용하여 KMS 키의 Origin 속성을 봅니다.

    • KMS 키 테이블에 오리진(Origin) 열을 추가하려면 오른쪽 상단 모서리에서 설정 아이콘을 선택합니다. 오리진(Origin)을 확인한 다음 확인(Confirm)을 선택합니다. 오리진 열에서 외부(키 구성 요소 가져오기) 오리진 속성 값으로 KMS 키를 쉽게 식별할 수 있습니다.

    • 특정 KMS 키의 Origin 속성 값을 찾으려면 해당 KMS 키의 키 ID 또는 별칭을 선택합니다. 암호화 구성 탭을 선택합니다. 일반 구성 섹션 아래에 탭이 있습니다.

  4. 키 구성 요소에 대한 세부 정보를 보려면 키 구성 요소 탭을 선택합니다. 이 탭은 가져온 키 구성 요소가 있는 KMS 키에 대해서만 세부 정보 페이지에 나타납니다.

가져온 키 구성 요소 (API) 로 KMS 키를 식별하려면AWS KMS

DescribeKey작업을 사용하세요. 응답에는 다음 예제에 표시된 것과 같이 KMS 키의 Origin 속성, 만료 모델 및 만료 날짜가 포함됩니다.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Origin": "EXTERNAL", "ExpirationModel": "KEY_MATERIAL_EXPIRES" "ValidTo": 2023-06-05T12:00:00+00:00, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": 2018-06-09T00:06:50.831000+00:00, "Enabled": false, "MultiRegion": false, "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

가져온 키 자료의 만료에 대한 CloudWatch 경보 생성

KMS 키의 가져온 키 구성 요소가 만료 시간에 가까워지면 알려주는 CloudWatch 경보를 생성할 수 있습니다. 예를 들어 만료까지 남은 기간이 30일 미만인 경우 이 경보를 통해 알림을 받을 수 있습니다.

키 구성 요소를 KMS 키로 가져올 때 선택적으로 키 구성 요소의 만료 날짜 및 시간을 지정할 수 있습니다. 키 구성 요소가 만료되면 키 구성 요소가 AWS KMS 삭제되고 KMS 키를 사용할 수 없게 됩니다. KMS 키를 다시 사용하려면 키 구성 요소를 다시 가져와야 합니다. 그러나 만료되기 전에 키 구성 요소를 다시 가져오면 해당 KMS 키를 사용하는 프로세스가 중단되는 상황을 방지할 수 있습니다.

이 경보는 가져온 키 구성 SecondsUntilKeyMaterialExpires요소가 만료되는 KMS CloudWatch 키에 AWS KMS 게시되는 메트릭을 사용합니다. 각 경보는 이 지표를 사용하여 특정 KMS 키에 대해 가져온 키 구성 요소를 모니터링합니다. 만료되는 키 구성 요소가 있는 모든 KMS 키에 대해 단일 경보를 생성할 수 없으며 향후 생성할 수 있는 KMS 키에 대한 경보를 생성할 수는 없습니다.

요구 사항

가져온 키 자료의 만료를 모니터링하는 CloudWatch 경보에는 다음 리소스가 필요합니다.

경보 생성

다음 필수 값을 사용하여 정적 임계값 기반 CloudWatch 경보 생성의 지침을 따르십시오. 다른 필드의 경우 기본값을 그대로 사용하고 요청에 따라 이름을 제공합니다.

필드
지표 선택

KMS를 선택한 다음 키별 지표를 선택합니다.

KMS 키가 있는 행과 SecondsUntilKeyMaterialExpires 지표를 선택합니다. 그런 다음 지표 선택을 선택합니다.

지표 목록에는 만료되는 가져온 키 구성 요소가 있는 KMS 키에 대한 SecondsUntilKeyMaterialExpires 지표만 표시됩니다. 계정 및 리전에 이러한 속성을 가진 KMS 키가 없는 경우 이 목록은 비어 있습니다.

통계 최소
기간 1분
임계값 유형 정적
다음과 같은 경우 항상 … metric-name1 보다 클때마다

가져온 키 구성 요소 삭제

언제든 KMS 키에서 가져온 키 구성 요소를 삭제할 수 있습니다. 또한 만료일이 있는 가져온 키 구성 요소가 만료되면 해당 키 구성 요소가 AWS KMS 삭제됩니다. 어느 경우든 키 구성 요소가 삭제되면 KMS 키의 키 상태가져오기 보류 중으로 변경되며, 동일한 키 구성 요소를 다시 가져올 때까지 KMS 키를 어떠한 암호화 작업에도 사용할 수 없습니다. (다른 키 구성 요소는 KMS 키로 가져올 수 없습니다.)

KMS 키를 비활성화하고 권한을 철회하는 것과 함께 키 구성 요소를 삭제하는 것은 KMS 키 사용을 신속하지만 일시적으로 중단하기 위한 전략으로 사용할 수 있습니다. 반대로, 가져온 키 구성 요소가 있는 KMS 키를 삭제하도록 예약하면 KMS 키 사용이 빠르게 중단되기도 합니다. 하지만 대기 기간 동안 삭제가 취소되지 않으면 KMS 키, 키 구성 요소 및 모든 키 메타데이터가 영구적으로 삭제됩니다. 자세한 내용은 가져온 키 구성 요소가 있는 KMS 키 삭제단원을 참조하세요.

키 자료를 삭제하려면 AWS KMS 콘솔 또는 DeleteImportedKeyMaterialAPI 작업을 사용할 수 있습니다. AWS KMS 가져온 키 구성 요소를 삭제할 때와 만료된 키 구성 요소를AWS KMS 삭제할 때 AWS CloudTrail 로그에 항목을 기록합니다.

주요 자료 삭제가 서비스에 미치는 영향 AWS

키 구성 요소를 삭제하면 키 구성 요소가 없는 KMS 키는 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 데이터 키로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 영향을 미치며 AWS 서비스, 이들 중 다수는 데이터 키를 사용하여 리소스를 보호합니다. 자세한 내용은 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향단원을 참조하세요.

키 구성 요소 삭제(콘솔)

를 AWS Management Console 사용하여 주요 자료를 삭제할 수 있습니다.

  1. https://console.aws.amazon.com/kms 에서 AWS Management Console 로그인하고 AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

  2. 를 변경하려면 AWS 리전페이지 오른쪽 상단에 있는 지역 선택기를 사용하십시오.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 다음 중 하나를 수행하십시오.

    • 가져온 키 구성 요소가 있는 KMS 키에 대한 확인란을 선택합니다. 키 작업(Key actions), 키 구성 요소 삭제(Delete key material)를 선택합니다.

    • 가져온 키 구성 요소가 있는 KMS 키의 별칭 또는 키 ID를 선택합니다. 키 구성 요소(Key material) 탭을 선택한 다음 키 구성 요소 삭제(Delete key material)를 선택합니다.

  5. 키 구성 요소를 삭제하고자 함을 확인한 후 [Delete key material]을 선택합니다. 키 상태에 해당되는 KMS 키의 상태가 가져오기 보류 중(Pending import)으로 변경됩니다.

주요 자료 (API) 삭제AWS KMS

AWS KMS API를 사용하여 주요 자료를 삭제하려면 DeleteImportedKeyMaterial요청을 보내세요. 다음 예에서는 AWS CLI에서 이 작업을 수행하는 방법을 보여줍니다.

키 구성 요소를 삭제할 KMS 키의 키 ID를 1234abcd-12ab-34cd-56ef-1234567890ab로 바꿉니다. KMS 키의 키 ID나 ARN을 사용할 수 있지만, 이 작업에 대한 별칭을 사용할 수 없습니다.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

가져온 키 구성 요소가 있는 KMS 키 삭제

키 구성 요소가 있는 KMS 키의 키 구성 요소를 삭제하는 것은 일시적이며 되돌릴 수 있습니다. 키를 복원하려면 키 구성 요소를 다시 가져오세요.

반면 KMS 키 삭제 작업은 되돌릴 수 없습니다. 키 삭제를 예약하고 필요한 대기 기간이 만료되면 KMS 키, 키 구성 요소 및 KMS 키와 관련된 모든 메타데이터를 AWS KMS 영구적이고 되돌릴 수 없게 삭제합니다.

하지만 가져온 키 구성 요소가 있는 KMS 키를 삭제할 경우의 위험과 결과는 KMS 키의 유형(‘키 사양’)에 따라 달라집니다.

  • 대칭 암호화 키 - 대칭 암호화 KMS 키를 삭제하면 해당 키로 암호화된 나머지 모든 사이퍼텍스트를 복구할 수 없습니다. 동일한 키 구성 요소가 있더라도 삭제된 대칭 암호화 KMS 키의 사이퍼텍스트를 해독할 수 있는 새로운 대칭 암호화 KMS 키를 생성할 수 없습니다. 각 KMS 키에 고유한 메타데이터는 각 대칭 사이퍼텍스트에 암호화 방식으로 바인딩됩니다. 이 보안 기능은 대칭 사이퍼텍스트를 암호화한 KMS 키만 해당 사이퍼텍스트를 해독할 수 있도록 보장하지만, 동일한 KMS 키를 다시 생성할 수 없도록 합니다.

  • 비대칭 및 HMAC 키 - 원래 키 구성 요소가 있는 경우 삭제된 비대칭 또는 HMAC KMS 키와 동일한 암호화 속성을 사용하여 새 KMS 키를 만들 수 있습니다. AWS KMS 고유한 보안 기능을 포함하지 않는 표준 RSA 암호문 및 서명, ECC 서명, HMAC 태그를 생성합니다. AWS외부의 HMAC 키 또는 비대칭 키 쌍의 프라이빗 키를 사용할 수도 있습니다.

    동일한 비대칭 또는 HMAC 키 구성 요소를 사용하여 생성한 새 KMS 키는 다른 키 식별자를 갖게 됩니다. 새 키 정책을 생성하고, 별칭을 다시 만들고, 새 키를 참조하도록 기존 IAM 정책 및 권한 부여를 업데이트해야 합니다.