다중 리전 키 삭제 - AWS Key Management Service

다중 리전 키 삭제

다중 리전 기본 키 또는 복제본 키를 더 이상 사용하지 않는 경우 삭제를 예약할 수 있습니다.

KMS 키 삭제는 항상 주의해서 수행해야 하지만 기본 키가 AWS KMS에 여전히 존재한다면 다중 리전 키의 복제본을 삭제하는 것이 덜 위험합니다. 해당 리전에서 복제 키를 삭제했는데 삭제된 키로 암호화된 암호문이 발견되면 관련 다중 리전 키로 해당 암호문을 복호화할 수 있습니다. 기본 키를 다시 복제 키 리전에 복제하여 복제본 키를 다시 만들 수도 있습니다.

그러나 기본 키와 모든 복제 키를 삭제하는 것은 단일 리전 키를 삭제하는 것 만큼이나 매우 위험한 작업입니다.

주의

KMS 키를 삭제하는 것은 파괴적이며 잠재적으로 위험합니다. 지금뿐 아니라 앞으로도 KMS 키를 더 이상 사용할 필요가 없다고 확신하는 경우에만 진행해야 합니다. 확실하지 않은 경우에는 삭제하는 대신 KMS 키를 비활성화해야 합니다.

기본 키를 삭제하려면 먼저 해당 복제 키를 모두 삭제해야 합니다. 복제 키를 삭제하지 않고 특정 리전에서 기본 키를 삭제해야 하는 경우 기본 리전을 업데이트하여 기본 키를 복제본 키로 변경합니다.

KMS 키의 삭제를 예약하기 전에 대기 시간 동안 AWS KMS keys 삭제 주제 및 KMS 키의 과거 사용 확인 방법 및 KMS 키에 대해 경고하는 CloudWatch 경보 설정 방법을 설명하는 주제를 검토하십시오. 비대칭 다중 리전 키의 기본 키를 삭제하기 전에 비대칭 키 삭제 주제를 검토하십시오.

다중 리전 키 삭제 권한

다중 리전 키의 삭제를 예약하려면 다음 권한만 있으면 됩니다.

또한 다음과 같은 관련 권한이 있는 것이 좋습니다.

  • kms:CancelKeyDeletion — 다중 리전 키의 예약된 삭제를 취소합니다.

  • kms:DescribeKey— 다중 리전 키의 키 상태 및 관련 다중 리전 키 목록을 볼 수 있습니다.

  • kms:DisableKey — 다중 리전 키를 삭제하는 대신 비활성화할 수 있는 옵션을 제공합니다.

  • kms:EnableKey — 삭제를 취소한 후 다중 리전 키의 기능을 복원합니다.

기본 키를 복제하고 기본 키를 변경할 수 있는 권한을 포함할 수도 있습니다.

IAM 정책에 이러한 권한을 포함할 수 있지만 관리해야 하는 KMS 키에만 적용되는 키 정책에 이러한 권한을 적용하는 것이 좋습니다.

복제본 키를 삭제하는 방법

AWS KMS 콘솔 또는 AWS KMS API를 사용하여 복제본 키를 삭제할 수 있습니다. 언제든지 복제본 키를 삭제할 수 있습니다. 다른 KMS 키의 키 상태에 의존하지 않습니다.

실수로 복제본 키를 삭제한 경우 동일한 리전에 동일한 프라이머리 키를 복제하여 복제본을 다시 만들 수 있습니다. 새로 생성하는 복제본 키는 원래 복제본 키와 동일한 공유 속성을 갖습니다.

다중 리전 복제본 키를 삭제하는 절차는 단일 리전 키를 삭제하는 것과 같습니다.


                다중 리전 복제본 키 삭제
  1. 복제본 키의 삭제를 예약합니다. 7-30일의 대기 기간을 선택하십시오. 기본 대기 기간은 30일입니다.

  2. 대기 기간 동안 복제본 키의 키 상태Pending deletion(PendingDeletion)로 변경되며 암호화 작업에 사용할 수 없습니다.

  3. 대기 기간 중 언제든지 복제본 키의 예정된 삭제를 취소할 수 있습니다. 키 상태가 Disabled로 변경되지만 KMS 키를 다시 활성화할 수 있습니다.

  4. 대기 기간이 만료되면 AWS KMS가 KMS 키를 삭제합니다.

AWS CloudTrail 로그에서 활동 기록을 볼 수 있습니다. AWS KMS는 KMS 키 삭제를 예약하는 작업과 KMS 키를 삭제하는 작업을 기록합니다.

복제본 키 삭제(콘솔)

다중 리전 복제본 키의 삭제를 예약하려면 단일 리전 키 삭제를 예약할 때와 동일한 절차를 사용합니다.

관련 복제본 키는 다른 AWS 리전에 있으므로 한 번에 둘 이상의 복제본 키 삭제를 예약할 수 없습니다. 관련 복제 키를 모두 삭제하려면 다음과 같은 패턴을 사용합니다.

모든 관련 복제본 키의 삭제를 예약하려면

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  3. 오른쪽 상단 모서리에 있는 리전 선택기를 사용하여 다중 리전 기본 키의 리전을 선택합니다.

  4. 기본 키의 별칭 또는 키 ID를 선택합니다.

  5. 리전 구분(Regionality) 탭을 선택합니다.

  6. 관련 다중 리전 키 섹션에서 복제본 키의 키 ARN을 선택합니다.

    이 작업을 수행하면 새 브라우저 탭에서 복제본 키의 키 세부 정보 페이지가 열립니다. 콘솔은 복제본 키 리전으로 설정됩니다.

  7. 키 작업(Key actions) 메뉴에서 키 삭제 예약(Schedule key deletion)을 선택합니다.

    이 작업은 키 삭제를 예약하는 프로세스를 시작합니다. 키 삭제 예약 프로세스를 완료합니다. 자세한 내용은 키 삭제 예약 및 취소(콘솔) 단원을 참조하십시오.

  8. 기본 키의 리전 구분(Regionality) 탭을 표시하는 브라우저 탭으로 돌아갑니다. 복제본 키의 업데이트된 상태를 보려면 페이지를 새로 고쳐야 할 수 있습니다. 다른 복제본 키의 키 ARN을 선택하고 복제본 키의 삭제 예약 프로세스를 반복합니다.

복제본 키 삭제(AWS KMS API)

다중 리전 복제본 키의 삭제를 예약하려면 ScheduleKeyDeletion 작업을 수행합니다. KMS 키를 지정하려면, 키 ID 또는 키 ARN을 사용합니다. 다중 리전 키로 작업하는 경우 명시적 리전 값과 함께 키 ARN을 사용하여 오류 발생률을 줄일 수 있습니다.

예를 들어 이 명령은 us-west-2(미국 서부(오레곤)) 리전에서 복제본 키를 삭제합니다. 명령은 대기 기간을 지정하지 않으므로 대기 기간은 기본값인 30일로 설정됩니다.

$ aws kms schedule-key-deletion \ --region us-west-2 \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

명령이 성공하면 키 ARN(KeyId), 대기 기간(PendingWindowInDays), 삭제 날짜(DeletionDate) 및 PendingDeletion로 예상되는 현재 키 상태(KeyState)를 반환합니다.

다중 리전 복제본 키를 삭제할 때는 키 ARN의 키 ID 및 리전 값이 예상한 값인지 확인해야 합니다.

{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "DeletionDate": 1599523200.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 30 }

다중 리전 기본 키의 모든 복제본을 프로그래밍 방식으로 삭제하려면 복제본 키가 포함된 리전 목록을 만듭니다. 그런 다음 목록의 각 리전에 대해 위와 같이 ScheduleKeyDeletion 작업을 호출합니다.

영구 삭제되는 단일 리전 키와 달리 삭제된 복제본 키가 있던 리전에 기본 키를 복제하여 복제본 키를 복원할 수 있습니다.

복제본 키의 상태를 확인하고 다중 리전 키의 기본 키와 복제본 키를 보려면 DescribeKey 작업을 사용합니다.

기본 키를 삭제하는 방법

언제든지 다중 리전 기본 키의 삭제를 예약할 수 있습니다. 그러나, AWS KMS는 삭제 예정이더라도 복제본 키가 있는 다중 리전 기본 키를 삭제하지 않습니다.

기본 키를 삭제하려면 해당 복제 키를 모두 삭제하도록 예약한 다음 복제본 키가 삭제될 때까지 기다려야 합니다. 기본 키를 삭제하는 데 필요한 대기 기간은 마지막 복제 키가 삭제될 때 시작됩니다. 복제 키를 삭제하지 않고 특정 리전에서 기본 키를 삭제해야 하는 경우 기본 리전을 업데이트하여 기본 키를 복제본 키로 변경합니다.

기본 키에 복제 키가 없는 경우 프로세스는 복제 키를 삭제하거나 리전의 KMS 키를 삭제하는 것과 동일합니다.

기본 키가 삭제되도록 예약되어 있는 동안에는 암호화 작업에 사용할 수 없으며 복제할 수 없습니다. 그러나 삭제 예약이 되어 있지 않으면 해당 복제 키는 영향을 받지 않습니다.

AWS KMS 콘솔 또는 AWS KMS API를 사용하여 기본 키 및 복제본 키의 삭제를 예약할 수 있습니다. 복제 키의 삭제를 예약하기 전, 이후 또는 동시에 예약할 때 기본 키의 삭제를 예약할 수 있습니다. 프로젝트는 다음과 같을 수 있습니다.

  1. 기본 키의 삭제를 예약합니다. 7-30일의 대기 기간을 선택하십시오. 기본 대기 기간은 30일입니다. 그러나 모든 복제 키가 삭제될 때까지 기본 키의 대기 기간이 시작되지 않습니다.

    복제 키가 여전히 존재하는 경우 기본 키의 키 상태Pending replica deletion(PendingReplicaDeletion)으로 변경됩니다. 그렇지 않은 경우에는 Pending deletion(PendingDeletion)로 변경됩니다. 두 경우 모두 암호화 작업에 기본 키를 사용할 수 없으며 복제할 수 없습니다.

    기본 키 삭제 예약은 복제 키에 영향을 주지 않습니다. 키 상태는 계속 활성화되어 있으며 암호화 작업에서 이들을 사용할 수 있습니다. 복제본 키를 삭제하지 않으면 기본 키의 Pending replica deletion 상태가 무기한으로 유지될 수 있습니다.

    KMS key: Key state: Primary (us-east-1) Pending replica deletion (waiting period 30 days -- not started) Replica (us-west-2) Enabled Replica (eu-west-1) Enabled Replica (ap-southeast-2) Enabled
    
                        다중 리전 기본 키의 삭제 예약
  2. 각 복제본 키의 삭제를 예약합니다. 7-30일의 대기 기간을 선택하십시오. 기본 대기 기간은 30일입니다. 동시에 여러 복제 키를 삭제할 수 있습니다. 대기 기간은 동시에 실행됩니다. 대기 기간 동안 복제본 키의 키 상태Pending deletion(PendingDeletion)로 변경되며 암호화 작업에 이 KMS 키를 사용할 수 없습니다.

    예를 들어 세 개의 복제 키가 있는 경우 세 개의 모든 키를 동시에 삭제하도록 예약할 수 있습니다. 대기 기간이 동일하거나 다를 수 있습니다. 기본 키의 대기 기간이 아직 시작되지 않았습니다. 기존 복제 키가 있기 때문에 키 상태는 PendingReplicaDeletion입니다.

    KMS key: Key state: Primary key (us-east-1) Pending replica deletion (waiting period 30 days -- not started) Replica (us-west-2) Pending deletion (7 days) Replica (eu-west-1) Pending deletion (7 days) Replica (ap-southeast-2) Pending deletion (30 days)
  3. 기본 키 또는 복제본 키가 삭제될 때까지 예약된 삭제를 취소할 수 있습니다. 키 상태가 Disabled로 변경되지만 KMS 키를 다시 활성화할 수 있습니다.

  4. 마지막 복제 키의 대기 기간이 만료되면 AWS KMS는 마지막 복제 키를 삭제합니다. 기본 키의 키 상태가 Pending replica deletion(PendingReplicaDeletion)에서 Pending deletion(PendingDeletion)로 변경되고 기본 키에 대한 7~30일의 대기 기간이 시작됩니다.

    KMS key: Key state: Primary key (us-east-1) Pending deletion (waiting period 30 days)
    
                        다중 리전 모든 복제본 키 삭제
  5. 대기 기간이 만료되면 AWS KMS가 기본 키를 삭제합니다.

복제본이 있는 기본 키를 삭제하는 최소 시간은 14일입니다.

대기 기간이 7일인 기본 키 및 모든 복제 키의 키 삭제를 예약하면 7일 후에 복제본 키가 삭제됩니다. 기본 키는 14 일째에 삭제됩니다.

  • 1일차: 최소 대기 기간이 7일인 기본 키 및 복제 키의 삭제를 예약합니다. 복제 키에 대한 7일 삭제 대기 기간이 시작됩니다. 기본 키의 삭제 대기 기간이 아직 시작되지 않습니다.

  • 7일차: 복제 키의 삭제 대기 기간이 끝납니다. AWS KMS가 모든 복제본 키를 삭제합니다. 마지막 복제 키를 삭제하면 기본 키에 대한 7일 삭제 대기 기간이 시작됩니다.

  • 14일차: 기본 키의 삭제 대기 기간이 끝납니다. AWS KMS가 기본 키를 삭제합니다.

AWS CloudTrail 로그에서 활동 기록을 볼 수 있습니다. AWS KMS는 각 KMS 키 삭제를 예약하는 작업과 KMS 키를 삭제하는 작업을 기록합니다.

기본 키 삭제(콘솔)

다중 리전 기본 키를 삭제하려면 다음 절차를 사용합니다.

키 삭제를 예약하려면

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 삭제하려는 기본 키 옆의 확인란을 선택합니다. 이 기본 키의 복제본을 포함하여 하나 이상의 KMS 키를 선택할 수도 있습니다.

  5. 키 작업(Key actions)키 삭제 예약(Schedule key deletion)을 차례로 선택합니다.

  6. 경고와 대기 기간 동안 삭제 취소에 대한 정보를 읽고 고려하십시오. 삭제를 취소하려면 취소를 선택합니다.

  7. 대기 기간(일)(Waiting period(in days))에 7~30 범위의 일수를 입력합니다. KMS 키를 여러 개 선택한 경우 선택한 모든 KMS 키에 대기 기간이 적용됩니다. 복제본 키에 대한 대기 기간은 동시에 실행되지만 기본 키에 대한 대기 기간은 AWS KMS가 마지막 복제본 키를 삭제할 때까지 시작되지 않습니다.

  8. <일수(number of days)>일 이내에 이 키를 삭제할 것을 확인함 옆의 확인란을 선택합니다.

  9. [Schedule deletion]을 선택합니다.

KMS 키의 삭제 상태를 확인하려면 기본 키에 대한 세부 정보 페이지에서 일반 구성 섹션을 참조하십시오. 키 상태는 상태 필드에 나타납니다. 기본 키의 키 상태가 Pending deletion로 변경되면 예약된 삭제 날짜가 표시됩니다.

또한 모든 다중 리전 키에 대한 세부 정보 페이지의 리전 구분(Regionality) 탭에서 모든 기본 및 복제본 키의 키 상태(상태)를 확인할 수 있습니다. 자세한 내용은 다중 리전 키 보기 단원을 참조하세요.

기본 키 삭제(AWS KMS API)

다중 리전 복제본 키를 삭제하려면 ScheduleKeyDeletion 작업을 수행합니다. KMS 키를 지정하려면, 키 ID 또는 키 ARN을 사용합니다. 다중 리전 키로 작업하는 경우 명시적 리전 값과 함께 키 ARN을 사용하여 오류 발생률을 줄일 수 있습니다.

예를 들어 이 명령은 us-east-1(미국 동부 (버지니아 북부)) 리전에서 기본 키를 삭제합니다. 명령은 대기 기간을 지정하지 않으므로 대기 기간은 기본값인 30일로 설정됩니다.

$ aws kms schedule-key-deletion \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

명령이 성공하면 키 ARN, 결과 키 상태 및 대기 기간(PendingWindowInDays)이 반환됩니다.

기본 키에 복제본이 없는 경우 기본 키의 키 상태는 PendingDeletion이고 출력에는 DeletionDate 필드가 포함됩니다. 복제 키가 남아 있는 경우 기본 키의 키 상태는 PendingReplicaDeletion이고 DeletionDate는 불확실하므로 생략됩니다. 복제본 키도 삭제하도록 예약되어 있더라도 예약된 삭제를 취소할 수 있습니다.

다중 리전 기본 키를 삭제할 때는 키 ARN의 키 ID 및 리전 값이 예상한 값인지 확인해야 합니다.

{ "KeyId": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "KeyState": "PendingReplicaDeletion", "PendingWindowInDays": 30 }

KMS 키의 삭제 상태를 확인하려면 기본 키 또는 나머지 복제본 키에 대해 DescribeKey 작업을 사용합니다. 기본 키에 대한 대기 기간 클럭은 마지막 복제본이 삭제되고 키 상태가 PendingDeletion로 변경될 때까지 시작되지 않습니다.

기본 키의 예상 삭제 날짜를 계산하려면 응답에서 복제본 키 ARN을 반복하고 각각에 대해 DescribeKey를 실행하고 최신 DeletionDate 값을 가져온 다음 기본 키에 대한 PendingDeletionWindowInDays 값을 추가합니다. 복제 키의 대기 기간이 동시에 실행됩니다.

다음 예에서 KMS 키는 기존 복제 키가 있는 다중 리전 기본 키입니다. 키 상태가 PendingReplicaDeletion이므로 응답에는 대기 기간(PendingWindowInDays)이 포함되지만 DeletionDate는 포함되지 않습니다. 기본 키의 실제 삭제 날짜는 복제 키가 삭제되는 시기에 따라 달라집니다.

$ aws kms describe-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1597902361.481, "Enabled": false, "Description": "", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "PendingReplicaDeletion", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" } ] }, "PendingDeletionWindowInDays": 30 } }

모든 복제본이 삭제되면 DescribeKey 출력에 키 상태가 PendingDeletion인 나머지 기본 키가 표시됩니다. 키 상태가 PendingDeletion인 동안 PendingWindowInDays 필드 대신 DeletionDate 필드가 나타납니다.

$ aws kms describe-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "", "CreationDate": 1597902361.481, "Enabled": false, "Description": "", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "PendingDeletion", "KeyUsage": "ENCRYPT_DECRYPT", "DeletionDate": 1597968000.0, "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [] } } }