다중 영역 키 삭제 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 영역 키 삭제

다중 리전 기본 키 또는 복제본 키를 더 이상 사용하지 않는 경우 삭제를 예약할 수 있습니다.

CMK 삭제는 항상 주의해서 수행해야 하지만 다중 리전 키의 복제본을 삭제하는 것은 위험하지 않습니다. 단, 기본 키가AWS KMS. 해당 지역에서 복제 키를 삭제하지만 삭제된 키로 암호화된 암호문을 발견하면 관련 다중 지역 키로 해당 암호문을 해독할 수 있습니다. 기본 키를 다시 복제 키 지역에 복제하여 복제본 키를 다시 만들 수도 있습니다.

그러나 기본 키와 모든 복제 키를 삭제하는 것은 매우 위험한 작업입니다. 이는 단일 리전 CMK를 삭제하는 것과 같습니다.

주의

AWS KMS에서 고객 마스터 키(CMK)를 삭제하는 것은 안전하지 않으며 위험할 수 있습니다. 지금뿐 아니라 앞으로도 CMK를 더 이상 사용할 필요가 없다고 확신하는 경우에만 진행해야 합니다. 확실하지 않은 경우에는 삭제하는 대신 CMK를 비활성화해야 합니다.

기본 키를 삭제하려면 먼저 해당 복제 키를 모두 삭제해야 합니다. 복제본 CMK를 삭제하지 않고 특정 리전에서 기본 키를 삭제해야 하는 경우 기본 키를기본 리전 업데이트.

CMK의 삭제를 예약하기 전에,고객 마스터 키 삭제항목 및 방법에 대해 설명하는 항목을CMK의 과거 사용을 결정합니다.및 방법CloudWatch 경보를 설정하려면대기 기간 동안 CMK 사용을 경고하는 기능을 제공합니다. 비대칭 다중 영역 CMK의 기본 키를 삭제하기 전에비대칭 CMK 삭제주제를 참조하십시오.

다중 지역 키 삭제 권한

다중 지역 키의 삭제를 예약하려면 다음 권한만 있으면 됩니다.

또한 다음과 같은 관련 권한이 있는 것이 좋습니다.

  • KMS:취소 키 삭제— 다중 리전 키의 예약된 삭제를 취소합니다.

  • kms:DescribeKey— 다중 지역 키의 키 상태 및 관련 다중 지역 키 목록을 볼 수 있습니다.

  • KMS:비활성화 키— 다중 지역 키를 삭제하는 대신 비활성화할 수 있는 옵션을 제공합니다.

  • KMS:활성 키— 삭제를 취소한 후 다중 지역 키의 기능을 복원합니다.

기본 키를 복제하고 기본 키를 변경할 수 있는 권한을 포함할 수도 있습니다.

IAM 정책에 이러한 권한을 포함할 수 있지만 관리해야 하는 CMK에만 적용되는 주요 정책에 이러한 권한을 적용하는 것이 좋습니다.

복제본 키를 삭제하는 방법

다음을 수행할 수 있습니다.AWS KMS콘솔 또는AWS KMSAPI를 사용하여 복제본 키를 삭제할 수 있습니다. 복제본 키는 언제든지 삭제할 수 있습니다. 다른 CMK의 키 상태에 의존하지 않습니다.

다중 리전 복제본 키를 삭제하는 절차는 단일 리전 키를 삭제하는 것과 같습니다.


                다중 리전 복제본 키 삭제
  1. 복제본 키의 삭제를 예약합니다. 7-30 일의 대기 기간을 선택하십시오. 기본 대기 기간은 30일입니다.

  2. 대기 기간 동안키 상태복제 키 변경Pending deletion(PendingDeletion) 이며 암호화 작업에 사용할 수 없습니다.

  3. 대기 기간 중 언제든지 복제본 키의 스케줄 지정 삭제를 취소할 수 있습니다. 키 상태가 로 변경됩니다.Disabled를 사용할 수 있지만재활성화CMK를 사용합니다.

  4. 대기 기간이 만료되면AWS KMS는 복제본 키를 삭제합니다.

당신은 당신의 행동에 대한 기록을 볼 수 있습니다AWS CloudTrail로그에 로그인합니다.AWS KMS가 작업을 기록하는CMK의 삭제 스케줄 지정그리고 그 행동은CMK를 삭제합니다..

복제본 키 삭제 (콘솔)

다중 리전 복제본 키의 삭제를 예약하려면동일한 절차단일 리전 키의 삭제를 예약할 때 사용합니다.

관련된 복제 키가 서로 다른 AWS 리전 를 사용하는 경우 한 번에 둘 이상의 복제 키를 삭제하도록 예약할 수 없습니다. 관련된 복제본 키를 삭제하려면 다음과 같은 패턴을 사용합니다.

모든 관련 복제본 키의 삭제를 예약하려면

  1. 에 로그인합니다.AWS Management Console를 열려면AWS Key Management Service(AWS KMS(콘솔)https://console.aws.amazon.com/kms.

  2. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  3. 오른쪽 상단에 있는 리전 선택기를 사용하여 다중 리전 기본 키의 리전을 선택합니다.

  4. 기본 키의 별칭 또는 키 ID를 선택합니다.

  5. 선택을 선택합니다.Regionality탭을 선택합니다.

  6. 에서관련 다중 리전 키섹션에서 복제본 키의 키 ARN 선택합니다.

    이 작업은 새 브라우저 탭에서 복제본 키의 키 세부 정보 페이지를 엽니다. 콘솔은 복제본 키 지역으로 설정됩니다.

  7. 에서주요 작업메뉴에서키 삭제 예약.

    이 작업은 키 삭제를 예약하는 프로세스를 시작합니다. 스케줄 키 삭제 프로세스를 완료합니다. 세부 정보는 키 삭제 예약 및 취소 (콘솔) 단원을 참조하십시오.

  8. 를 표시하는 브라우저 탭으로 돌아갑니다.Regionality탭에서 기본 키를 선택합니다. 복제본 키의 업데이트된 상태를 보려면 페이지를 새로 고쳐야 할 수 있습니다. 다른 복제본 키의 키 ARN 선택하고 복제본 키의 삭제 스케줄링 프로세스를 반복합니다.

복제본 키 삭제 (AWS KMSAPI)

다중 리전 복제본 키의 삭제를 예약하려면ScheduleKeyDeletion작업을 수행합니다. CMK를 지정하려면 해당 CMK를 사용합니다.키 ID또는ARN 키. 다중 리전 CMK로 작업하는 경우 명시적 Region 값과 함께 키 ARN 사용하여 오류 발생률을 줄일 수 있습니다.

예를 들어 이 명령은 us-west-2 (미국 서부 (오레곤) 리전에서 복제본 키를 삭제합니다. 명령은 대기 기간을 지정하지 않으므로 대기 기간은 기본값인 30일로 설정됩니다.

$ aws kms schedule-key-deletion \ --region us-west-2 \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

명령이 성공하면 키 ARN (KeyId), 대기 기간 (PendingWindowInDays), 삭제 날짜 (DeletionDate) 및 현재 키 상태 (KeyState) 이 될 것으로 예상됩니다PendingDeletion.

다중 리전 복제본 키를 삭제할 때는 키 ARN 의 키 ID 및 리전 값이 예상한 값인지 확인해야 합니다.

{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "DeletionDate": 1599523200.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 30 }

다중 리전 기본 키의 모든 복제본을 프로그래밍 방식으로 삭제하려면 복제본 키가 포함된 리전 목록을 만듭니다. 그런 다음 목록의 각 지역에 대해ScheduleKeyDeletion위에서 볼 수 있듯이 작업을 수행합니다.

영구적으로 삭제되는 단일 리전 CMK와 달리 다음을 수행하여 복제본 키를 복구할 수 있습니다.기본 키 복제를 삭제 된 복제 키가 위치한 지역으로 이동 합니다.

복제본 키의 상태를 확인하고 다중 리전 CMK의 기본 키 및 복제본 CMK를 보려면DescribeKey작업을 수행합니다.

기본 키 삭제하는 방법

언제든지 다중 지역 기본 키의 삭제를 예약할 수 있습니다. 그러나,AWS KMS는 복제 CMK가 있는 다중 리전 기본 키가 삭제되도록 예약되어 있더라도 삭제하지 않습니다.

기본 키를 삭제하려면 모든 복제본 CMK 삭제 일정을 잡은 다음 복제본 CMK가 삭제될 때까지 기다려야 합니다. 기본 키를 삭제하는 데 필요한 대기 기간은 복제본 CMK의 마지막 삭제 시점부터 시작됩니다. 복제본 CMK를 삭제하지 않고 특정 리전에서 기본 키를 삭제해야 하는 경우 기본 키를기본 리전 업데이트.

기본 키에 복제본 CMK가 없는 경우 프로세스는복제본 키 삭제또는지역별 CMK 삭제.

기본 키가 삭제되도록 예약되어 있는 동안에는 암호화 작업에 사용할 수 없으며 복제할 수 없습니다. 그러나 삭제 스케줄이 지정되어 있지 않으면 해당 복제 키는 영향을 받지 않습니다.

다음을 수행할 수 있습니다.AWS KMS콘솔 또는AWS KMSAPI를 사용하여 기본 및 복제본 CMK 삭제를 예약할 수 있습니다. 복제본 CMK 삭제 일정을 잡기 전, 이후 또는 동시에 기본 키 삭제를 스케줄링할 수 있습니다. 프로세스는 다음과 같을 것입니다.

  1. 기본 키의 삭제를 예약합니다. 7-30 일의 대기 기간을 선택하십시오. 기본 대기 기간은 30일입니다. 그러나 모든 복제 CMK가 삭제될 때까지 기본 키의 대기 기간이 시작되지 않습니다.

    복제본 CMK가 여전히 존재할 경우키 상태을 기본 키로 변경합니다.Pending replica deletion(PendingReplicaDeletion). 그렇지 않은 경우에는Pending deletion(PendingDeletion). 두 경우 모두 암호화 작업에 기본 키를 사용할 수 없으며 복제할 수 없습니다.

    기본 키 삭제 일정을 예약해도 복제본 CMK에는 영향을 주지 않습니다. 키 상태는 계속 활성화되어 있으며 암호화 작업에 사용할 수 있습니다. 복제본 CMK가 삭제되지 않으면Pending replica deletion상태는 무기한으로 지속될 수 있습니다.

    CMK Key state Primary (us-east-1) Pending replica deletion (waiting period 30 days -- not started) Replica (us-west-2) Enabled Replica (eu-west-1) Enabled Replica (ap-southeast-2) Enabled
    
                        다중 지역 기본 키의 삭제 예약
  2. 각 복제본 키의 삭제를 예약합니다. 7-30 일의 대기 기간을 선택하십시오. 기본 대기 기간은 30일입니다. 복제본 CMK를 동시에 삭제할 수 있습니다. 대기 기간은 동시에 실행됩니다. 대기 기간 동안키 상태복제본의 CMK가Pending deletion(PendingDeletion) 암호화 작업에 이러한 CMK를 사용할 수 없습니다.

    예를 들어 복제본 CMK가 세 개 있는 경우 세 개 모두의 삭제를 동시에 스케줄링할 수 있습니다. 대기 기간이 동일하거나 다를 수 있습니다. 기본 키의 대기 기간이 아직 시작되지 않았습니다. 주요 상태는PendingReplicaDeletion기존 복제본 CMK가 있기 때문입니다.

    CMK: Key state Primary CMK (us-east-1) Pending replica deletion (waiting period 30 days -- not started) Replica (us-west-2) Pending deletion (7 days) Replica (eu-west-1) Pending deletion (7 days) Replica (ap-southeast-2) Pending deletion (30 days)
  3. 기본 키 또는 복제본 키가 삭제될 때까지 예약된 삭제를 취소할 수 있습니다. 키 상태가 로 변경됩니다.Disabled를 사용할 수 있지만재활성화CMK를 사용합니다.

  4. 마지막 복제 키의 대기 기간이 만료되면AWS KMS는 마지막 복제 키를 삭제합니다. 기본 키의 키 상태는 에서 변경됩니다.Pending replica deletion(PendingReplicaDeletion) 을Pending deletion(PendingDeletion) 기본 키에 대한 7-30 일의 대기 기간이 시작됩니다.

    CMK: Key state Primary CMK (us-east-1) Pending deletion (waiting period 30 days)
    
                        다중 리전 CMK의 모든 복제본 CMK 삭제
  5. 대기 기간이 만료되면AWS KMS를 기본 키로 삭제합니다.

복제본이 있는 기본 CMK를 삭제하는 최소 시간은 14일입니다.

대기 기간이 7일인 기본 키 및 모든 복제본 CMK의 키 삭제 스케줄을 지정하면 7일 후에 복제본 CMK가 삭제됩니다. 기본 키는 14 일째에 삭제됩니다.

  • 1일: 최소 대기 기간이 7일인 기본 및 복제본 CMK 삭제 스케줄을 지정합니다. 복제본 CMK에 대 한 7 일 삭제 대기 기간이 시작 됩니다. 기본 키의 삭제 대기 기간이 아직 시작되지 않습니다.

  • 7일: 복제본 CMK에 대한 삭제 대기 기간이 종료됩니다.AWS KMS는 모든 복제본 CMK를 삭제합니다. 마지막 복제 키를 삭제하면 기본 CMK에 대한 7일 삭제 대기 기간이 시작됩니다.

  • 14일 기본 키의 삭제 대기 기간이 끝납니다.AWS KMS를 기본 키로 삭제합니다.

당신은 당신의 행동에 대한 기록을 볼 수 있습니다AWS CloudTrail로그에 로그인합니다.AWS KMS가 작업을 기록하는각 CMK의 삭제 스케줄 지정그리고 그 행동은CMK를 삭제합니다..

기본 키 삭제 (콘솔)

다중 리전 기본 키를 삭제하려면 다음 절차를 따르십시오.

키 삭제를 예약하려면

  1. 에 로그인합니다.AWS Management Console를 열려면AWS Key Management Service(AWS KMS(콘솔)https://console.aws.amazon.com/kms.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 삭제하려는 기본 키 옆의 확인란을 선택합니다. 또한 이 기본 키의 복제본을 포함하여 CMK를 하나 이상 선택할 수도 있습니다.

  5. Key actions(키 작업)Schedule key deletion(키 삭제 예약)을 차례로 선택합니다.

  6. 경고와 대기 기간 동안 삭제 취소에 대한 정보를 읽고 고려하십시오. 삭제를 취소하려면 취소를 선택합니다.

  7. Waiting period(in days)(대기 기간(일))에 7~30 범위의 일수를 입력합니다. 여러 CMK를 선택한 경우 선택한 대기 기간이 모든 CMK에 적용됩니다. 복제본 CMK에 대한 대기 기간은 동시에 실행되지만 기본 키의 대기 기간은AWS KMS는 마지막 복제본 CMK를 삭제합니다.

  8. 옆의 확인란을 선택합니다.에서 이 키를 삭제할지 확인합니다.<number of days>.

  9. [Schedule deletion]을 선택합니다.

CMK의 삭제 상태를 확인하려면세부 정보 페이지기본 키에 대한 자세한 내용은일반 구성섹션을 참조하십시오. 키 상태는상태필드에 로그인합니다. 기본 키의 키 상태가Pending deletion the 예약된 삭제 날짜가 표시됩니다.

키 상태 (상태) 에 있는 모든 기본 및 복제본 CMKRegionality탭에서 다중 지역 CMK에 대한 세부 정보 페이지를 볼 수 있습니다. 세부 정보는 다중 영역 키 보기 단원을 참조하십시오.

(기본 키 삭제AWS KMSAPI)

다중 리전 복제본 키를 삭제하려면ScheduleKeyDeletion작업을 수행합니다. CMK를 지정하려면 해당 CMK를 사용합니다.키 ID또는ARN 키. 다중 리전 CMK로 작업하는 경우 명시적 Region 값과 함께 키 ARN 사용하여 오류 발생률을 줄일 수 있습니다.

예를 들어 이 명령은 us-east-1 (미국 동부 (버지니아 북부) 리전에서 기본 키를 삭제합니다. 명령은 대기 기간을 지정하지 않으므로 대기 기간은 기본값인 30일로 설정됩니다.

$ aws kms schedule-key-deletion \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

명령이 성공하면 키 ARN, 결과 키 상태 및 대기 기간 (PendingWindowInDays).

기본 키에 복제본이 없는 경우 기본 키의 키 상태는PendingDeletion를 포함하며 출력에는DeletionDate필드에 로그인합니다. 복제본 CMK가 남아 있는 경우 기본 키의 키 상태는PendingReplicaDeletionDeletionDate는 불확실하기 때문에 생략됩니다. 복제본 CMK도 삭제하도록 스케줄링된 경우에도 스케줄이 지정된 삭제를 취소할 수 있습니다.

다중 리전 기본 키를 삭제할 때는 키 ARN 의 키 ID 및 리전 값이 예상한 값인지 확인해야 합니다.

{ "KeyId": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "KeyState": "PendingReplicaDeletion", "PendingWindowInDays": 30 }

CMK의 삭제 상태를 확인하려면DescribeKey기본 키 또는 나머지 복제본 CMK에 대한 작업 마지막 복제본이 삭제되고 키 상태가PendingDeletion.

기본 키의 예상 삭제 날짜를 계산하려면 응답의 복제본 키 ARN을 반복하고DescribeKey를 각 하나에 추가 할 수 있으며, 최신DeletionDate값을 추가한 다음PendingDeletionWindowInDays값을 기본 키로 지정합니다. 복제본 CMK에 대한 대기 기간이 동시에 실행됩니다.

다음 예에서 CMK는 기존 복제본 CMK가 있는 다중 리전 기본 키입니다. 키 상태는PendingReplicaDeletion인 경우 응답에는 대기 기간 (PendingWindowInDays) 를 사용할 수 있지만DeletionDate. 기본 키의 실제 삭제 날짜는 복제본 CMK가 삭제되는 시기에 따라 달라집니다.

$ aws kms describe-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1597902361.481, "Enabled": false, "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingReplicaDeletion", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" } ] }, "PendingDeletionWindowInDays": 30 } }

모든 복제본이 삭제되면DescribeKey출력은 키 상태가 인 나머지 기본 키를 보여줍니다.PendingDeletion. 키 상태는PendingDeletion,DeletionDate필드 대신 나타나는PendingWindowInDays필드에 로그인합니다.

$ aws kms describe-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "", "CreationDate": 1597902361.481, "Enabled": false, "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingDeletion", "DeletionDate": 1597968000.0, "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [] } } }