다중 리전 키 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 리전 키

대부분의 작업에서 단일 리전 키를 사용하고 관리하는 것과 동일한 방식으로 다중 리전 키를 관리합니다. 키를 활성화 및 비활성화하고 별칭, 키 정책, 권한 부여 및 태그를 설정 및 업데이트할 수 있습니다. 그러나 다중 지역 키의 관리는 다음과 같은 점에서 다릅니다.

  • 다음을 수행할 수 있습니다기본 리전 업데이트. 이렇게 하면 복제본 키 중 하나가 기본 키로 변경되고 현재 기본 키가 복제본으로 변경됩니다.

  • 사용자가 관리자동 키를 기본 키에서

  • 다음을 얻을 수 있습니다.퍼블릭 키관련 기본 또는 복제 키의 비대칭 다중 리전 키에 대한

기본 리전 업데이트

관련된 모든 다중 리전 키 세트에는 기본 키가 있어야 합니다. 그러나 기본 키를 변경할 수 있습니다. 이 작업 (기본 리전 업데이트는 현재 기본 키를 복제본 키로 변환하고 관련 복제본 키 중 하나를 기본 키로 변환합니다. 복제본 키를 유지 관리하는 동안 현재 기본 키를 삭제하거나 키 관리자와 동일한 지역에서 기본 키를 찾아야 하는 경우 이 작업을 수행할 수 있습니다.

관련 복제 키를 새 기본 키로 선택할 수 있습니다. 기본 키와 복제 키가 모두Enabled 작업이 시작되면

이 작업이 완료된 후에도 기본 지역을 업데이트하는 프로세스가 몇 초 더 진행 중일 수 있습니다. 이 시간 동안 이전 및 새 기본 키의 일시적인 키 상태는업데이트 중. 키 상태는Updating에서는 암호화 작업에 키를 사용할 수 있지만 새 기본 키를 복제하거나 이러한 키 활성화 또는 비활성화와 같은 특정 관리 작업을 수행할 수는 없습니다. 다음과 같은 작업DescribeKey는 이전 기본 키와 새 기본 키를 모두 복제본으로 표시 할 수 있습니다. 이Enabled키 상태는 업데이트가 완료되면 복원됩니다.

미국 동부 (버지니아 북부) (us-east-1) 에 기본 키가 있고 유럽 (아일랜드) (eu-west-1) 에 복제 키가 있다고 가정하겠습니다. 업데이트 기능을 사용하여 미국 동부 (버지니아 북부) (us-east-1) 의 기본 키를 복제 키로 변경하고 유럽 (아일랜드) (eu-west-1) 의 복제 키를 기본 키로 변경할 수 있습니다.


                기본 키 업데이트

업데이트 프로세스가 완료되면 유럽 (아일랜드) (eu-west-1) 지역의 다중 리전 키가 다중 리전 기본 키이고 미국 동부 (버지니아 북부) (us-east-1) 리전의 키는 복제 키입니다. 다른 관련 복제 키가 있는 경우 새 기본 키의 복제본이 됩니다. 다음 번에는AWS KMS는 다중 지역 키의 공유 속성을 동기화하므로공유를 새 기본 키에서 복사하여 이전 기본 키를 포함한 복제본 키에 복사합니다.

업데이트 작업은키 ARN다중 지역 키. 또한 키 재료와 같은 공유 특성이나 키 정책과 같은 독립 특성에는 영향을 주지 않습니다. 그러나키 정책을 업데이트합니다.을 새 기본 키로 예를 들어,KMS:복제 키권한을 새 기본 키에 할당하고 새 복제 키에서 제거합니다.

Updating

기본 지역을 업데이트하는 프로세스는 대부분의 영향을 미치는 짧은 최종 일관성 지연보다 조금 더 오래 걸립니다.AWS KMS작업을 수행합니다. 프로세스가 여전히 진행 중일 수 있습니다UpdatePrimaryRegion작업이 반환되거나 콘솔에서 업데이트 절차를 완료했습니다. 다음과 같은 작업DescribeKey는 프로세스가 완료 될 때까지 이전 기본 키와 새 기본 키를 모두 복제본으로 표시 할 수 있습니다.

기본 리전을 업데이트하는 과정에서 이전 기본 키와 새 기본 키는Updating키 상태를 지웁니다. 업데이트 프로세스가 성공적으로 완료되면 두 키 모두Enabled키 상태를 지웁니다. 에서 하는 동안Updating상태에서는 키 활성화 및 비활성화와 같은 일부 관리 작업을 사용할 수 없습니다. 그러나 중단 없이 암호화 작업에서 두 키를 계속 사용할 수 있습니다. 효과에 대한 자세한 내용은Updating키 상태에 대한 자세한 내용은키 상태 CMK에 미치는 영향.

기본 리전 업데이트 (콘솔)

기본 키를 업데이트할 수 있는AWS KMS콘솔을 사용합니다. 현재 기본 키의 키 세부 정보 페이지에서 시작합니다.

  1. Sign in to the AWS Management Console를 열려면AWS Key Management Service(AWS KMS)https://console.aws.amazon.com/kms.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 키 ID 또는 별칭을 선택합니다.다중 리전 기본 키. CMK에 대한 주요 세부 정보 페이지가 열립니다.

    다중 지역 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여리전열을 테이블에 추가합니다.

  5. Choose the 리전탭을 선택합니다.

  6. 에서기본 키섹션에서기본 리전.

  7. 새 기본 키의 리전을 선택합니다. 메뉴에서 리전 하나를 선택할 수 있습니다.

    기본 리전메뉴에는 관련된 다중 지역 키가 있는 지역만 포함됩니다. 당신은 가지고 있지 않을 수 있습니다기본 리전을 업데이트할 수 있는 권한을 부여합니다.메뉴의 모든 지역에서.

  8. 선택기본 리전.

기본 리전 업데이트 (AWS KMSAPI

관련된 다중 지역 키 집합에서 기본 키를 변경하려면업데이트기본 영역작업을 수행합니다.

사용KeyId매개 변수를 사용하여 현재 기본 키를 식별합니다. 사용PrimaryRegion매개 변수를 사용하여 AWS 리전 을 새 기본 키로 기본 키에 새 기본 리전에 복제본이 없는 경우 작업이 실패합니다.

다음 예제에서는 기본 키를 다중 리전 키에서us-west-2에서 해당 복제본으로 리전eu-west-1리전. 이KeyId매개 변수의 현재 기본 키를 식별us-west-2리전. 이PrimaryRegion매개 변수는 AWS 리전 새 기본 키 인eu-west-1.

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

성공하면 이 작업은 출력을 반환하지 않습니다. HTTP 상태 코드만 반환합니다. 효과를 보려면DescribeKey두 CMK 중 하나에서 작업을 수행할 수 있습니다. 키 상태가Enabled. 키 상태는업데이트 중인 경우 키 값은 여전히 유동적일 수 있습니다.

예를 들어 다음DescribeKey호출은 다중 지역 키에 대한 세부 정보를eu-west-1리전. 출력은 다중 리전eu-west-1이제 리전이 기본 키입니다. 관련 다중 지역 키 (동일한 키 ID) 는us-west-2리전은 이제 복제 키입니다.

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

다중 영역 키 회전

활성화 및 비활성화키 재료의 자동 회전다중 영역 키. 자동 키 회전은공유다중 영역 키.

기본 키에서 자동 키 교체를 활성화하고 비활성화합니다.

  • 일시AWS KMS가 다중 리전 키를 동기화하는 경우 기본 키에서 모든 관련 복제본 키로 키 회전 속성 설정을 복사합니다.

  • 일시AWS KMS가 키 재질을 회전하고 기본 키의 새 키 재질을 만든 다음 지역 경계를 넘어 모든 관련 복제 키에 새 키 재질을 복사합니다. 핵심 자료는 결코 떠나지 않습니다.AWS KMS암호화되지 않습니다. 이 단계는 암호화 작업에 키가 사용되기 전에 키 자료가 완전히 동기화되도록 신중하게 제어됩니다.

  • AWS KMS는 기본 키와 모든 복제 키에서 해당 키 자료를 사용할 수 있을 때까지 새 키 자료로 데이터를 암호화하지 않습니다.

  • 회전된 기본 키를 복제하면 새 복제 키에는 현재 키 재질과 관련된 다중 영역 키에 대한 모든 이전 버전의 키 재질이 포함됩니다.

이 패턴은 관련된 다중 지역 키가 완벽하게 상호 운용되도록 보장합니다. 다중 지역 키는 키가 생성되기 전에 암호문을 암호화한 경우에도 관련 다중 지역 키로 암호화된 모든 암호문을 해독할 수 있습니다.

키 구성 요소를 가져온 다중 리전 비대칭 CMK 또는 다중 리전 CMK에서는 자동 키 교체가 지원되지 않습니다. 자동 키 회전과 활성화 및 비활성화에 대한 지침에 대한 자세한 내용은고객 마스터 키 교체.

퍼블릭 키 다운로드

다중 지역을 작성할 때비대칭 CMK,AWS KMS는 기본 키에 대한 RSA 또는 타원 곡선 (ECC) key pair 생성합니다. 그런 다음 해당 key pair 기본 키의 모든 복제본에 복사합니다. 따라서 기본 키 또는 해당 복제 키에서 공개 키를 다운로드할 수 있습니다. 항상 동일한 핵심 자료를 얻을 수 있습니다.

For information about downloading and using public keys outside of AWS KMS에 대한 자세한 내용은퍼블릭 키 다운로드 시 특별 고려 사항. 지침은 퍼블릭 키 다운로드 단원을 참조하십시오.