기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다중 리전 키 관리
대부분의 작업에서 단일 리전 키를 사용하고 관리하는 것과 동일한 방식으로 다중 리전 키를 관리합니다. 키를 활성화 및 비활성화하고 별칭, 키 정책, 권한 부여 및 태그를 설정 및 업데이트할 수 있습니다. 그러나 다중 리전 키의 관리는 다음과 같은 점에서 다릅니다.
-
기본 리전을 업데이트할 수 있습니다. 이렇게 하면 복제본 키 중 하나가 기본 키로 변경되고 현재 기본 키가 복제본으로 변경됩니다.
-
사용자가 기본 키에서만 자동 키 교체를 사용합니다.
-
관련 기본 키 또는 복제본 키에서 비대칭 다중 리전 키를 위한 퍼블릭 키를 가져올 수 있습니다.
KMS 키를 생성할 때 설정한 다중 리전 속성은 변경할 수 없습니다. 단일 리전 키를 다중 리전 키로 변환하거나 다중 리전 키를 단일 리전 키로 변환할 수 없습니다.
기본 리전 업데이트
관련된 다중 리전 키에는 기본 키가 있어야 합니다. 그러나 기본 키를 변경할 수 있습니다. 이 작업(기본 리전 업데이트)은 현재 기본 키를 복제본 키로 변환하고 관련 복제본 키 중 하나를 기본 키로 변환합니다. 복제본 키를 유지 관리하는 동안 현재 기본 키를 삭제하거나 키 관리자와 동일한 리전에서 기본 키를 찾아야 하는 경우 이 작업을 수행할 수 있습니다.
관련 복제 키를 새 기본 키로 선택할 수 있습니다. 작업이 시작될 때 기본 키와 복제본 키 모두 Enabled 키 상태에 있어야 합니다.
이 작업이 완료된 후에도 기본 지역을 업데이트하는 프로세스가 몇 초 더 진행 중일 수 있습니다. 이 시간 동안 이전 기본 키와 새 기본 키의 임시 키 상태는 업데이트 중입니다. 키 상태가 Updating인 동안에는 암호화 작업에서 키를 사용할 수 있지만 새 기본 키를 복제하거나 이러한 키 활성화 또는 비활성화와 같은 특정 관리 작업을 수행할 수 없습니다. DescribeKey와 같은 작업은 이전 기본 키와 새 기본 키를 모두 복제본으로 표시할 수 있습니다. Enabled 키 상태는 업데이트가 완료되면 복원됩니다.
기본 키가 미국 동부(버지니아 북부)(us-east-1) 있고 복제 키가 유럽(아일랜드)(eu-west-1)에 있다고 가정합니다. 업데이트 기능을 사용하여 미국 동부(버지니아 북부)(us-east-1)의 기본 키를 복제 키로 변경하고 유럽(아일랜드)(eu-west-1)의 복제 키를 기본 키로 변경할 수 있습니다.
업데이트 프로세스가 완료되면 유럽 (아일랜드)(eu-west-1) 리전의 다중 리전 키가 다중 리전 기본 키이고 미국 동부(버지니아 북부)(us-east-1) 리전의 키는 복제 키입니다. 다른 관련 복제 키가 있는 경우 새 기본 키의 복제본이 됩니다. 다음에 AWS KMS가 다중 리전 키의 공유 속성을 동기화할 때 새 기본 키에서 공유 속성을 가져와 이전 기본 키를 포함하여 복제 키에 복사합니다.
업데이트 작업은 다중 리전 키의 키 ARN에 영향을 주지 않습니다. 또한 키 구성 요소와 같은 공유 특성이나 키 정책과 같은 독립 특성에는 영향을 주지 않습니다. 그러나 새 기본 키의 키 정책을 업데이트하고자 할 수 있습니다. 예를 들어 신뢰할 수 있는 보안 주체에 대한 kms:ReplicateKey 새 기본 키에 추가하고 새 복제본 키에서 제거할 수 있습니다.
Updating 키 상태
기본 리전을 업데이트하는 프로세스는 대부분의 AWS KMS 작업에 영향을 미치는 짧은 최종 일관성 지연보다 조금 더 오래 걸립니다. UpdatePrimaryRegion 작업이 반환되거나 콘솔에서 업데이트 절차를 완료한 후에도 프로세스가 계속 진행 중일 수 있습니다. DescribeKey와 같은 작업은 프로세스가 완료될 때까지 이전 기본 키와 새 기본 키를 모두 복제본으로 표시할 수 있습니다.
기본 리전을 업데이트하는 과정에서 이전 기본 키와 새 기본 키는 Updating 키 상태에 있습니다. 업데이트 프로세스가 성공적으로 완료되면 두 키 모두 Enabled 키 상태로 돌아갑니다. Updating 상태에서는 키 활성화 및 비활성화와 같은 일부 관리 작업을 사용할 수 없습니다. 그러나 중단 없이 암호화 작업에서 두 키를 계속 사용할 수 있습니다. Updating 키 상태의 효과에 대한 정보는 AWS KMS 키의 키 상태 단원을 참조하십시오.
기본 리전 업데이트(콘솔)
AWS KMS 콘솔에서 기본 키를 업데이트할 수 있습니다. 현재 기본 키에 대한 키 세부 정보 페이지에서 시작합니다.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
-
탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.
-
다중 리전 기본 키의 키 ID 또는 별칭을 선택합니다. 그러면 기본 키에 대한 키 세부 정보 페이지가 열립니다.
다중 리전 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여 테이블에 리전 구분(Regionality) 열을 추가합니다.
-
리전 구분(Regionality) 탭을 선택합니다.
-
기본 키 섹션에서 기본 리전 변경(Change primary Region)을 선택합니다.
-
새 기본 키의 리전을 선택합니다. 메뉴에서 리전을 하나만 선택할 수 있습니다.
기본 리전 변경 메뉴에는 관련 다중 리전 키가 있는 리전만 포함됩니다. 메뉴의 모든 리전에서기본 리전을 업데이트할 권한이 없을 수 있습니다.
-
기본 리전 변경을 선택합니다.
기본 리전 업데이트(AWS KMS API)
관련 다중 지역 키 집합에서 기본 키를 변경하려면 UpdatePrimaryRegion 작업을 수행합니다.
KeyId 파라미터를 사용하여 현재 기본 키를 식별합니다. PrimaryRegion 파라미터를 사용하여 새 기본 키의 AWS 리전을 표시하십시오. 기본 키에 새 기본 리전에 복제본이 없는 경우 작업이 실패합니다.
다음 예에서는 기본 키를 us-west-2 리전의 다중 리전 키에서 eu-west-1 리전의 복제본으로 변경합니다. KeyId 파라미터는 us-west-2 리전의 현재 기본 키를 식별합니다. PrimaryRegion 파라미터는 새 기본 키 eu-west-1의 AWS 리전를 지정합니다.
$aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1
성공하면 이 작업은 출력을 반환하지 않고, HTTP 상태 코드만 반환합니다. 효과를 확인하려면 다중 리전 키 중 하나에서 DescribeKey 작업을 호출하십시오. 키 상태가 Enabled로 반환될 때까지 기다릴 수 있습니다. 키 상태가 업데이트 중인 경우 키 값은 여전히 유동적일 수 있습니다.
예를 들어 다음 DescribeKey 호출은 eu-west-1 리전의 다중 리전 키에 대한 세부 정보를 가져옵니다. 출력은 eu-west-1 리전의 다중 리전 키가 이제 기본 키임을 보여줍니다. us-west-2 리전의 관련 다중 리전 키(동일한 키 ID)는 이제 복제본 키입니다.
$aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }
다중 리전 키 교체
다중 리전 키의 키 구성 요소 자동 교체를 활성화 및 비활성화할 수 있습니다. 자동 키 교체는 다중 리전 키의 공유 속성입니다.
기본 키에서만 자동 키 교체를 활성화 및 비활성화합니다.
-
AWS KMS가 다중 리전 키를 동기화할 때 기본 키에서 모든 관련 복제본 키로 키 교체 속성 설정을 복사합니다.
-
AWS KMS가 키 구성 요소를 교체할 때 기본 키에 대한 새 키 구성 요소를 만든 다음 리전 경계를 넘어 모든 관련 복제본 키에 새 키 구성 요소를 복사합니다. 키 구성 요소는 AWS KMS를 암호화되지 않은 상태로 두지 않습니다. 이 단계는 암호화 작업에 키가 사용되기 전에 키 구성 요소가 완전히 동기화되도록 신중하게 제어됩니다.
-
AWS KMS는 기본 키와 모든 복제 키에서 해당 키 구성 요소를 사용할 수 있을 때까지 새 키 구성 요소로 데이터를 암호화하지 않습니다.
-
교체된 기본 키를 복제하면 새 복제 키에는 현재 키 구성 요소와 관련된 다중 리전 키에 대한 모든 이전 버전의 키 구성 요소가 포함됩니다.
이 패턴은 관련된 다중 리전 키가 완벽하게 상호 운용되도록 보장합니다. 다중 리전 키는 키가 생성되기 전에 암호문을 암호화한 경우에도 관련 다중 리전 키로 암호화된 모든 암호문을 해독할 수 있습니다.
비대칭 KMS 키나 가져온 키 구성 요소를 사용하는 KMS 키에는 자동 키 교체가 지원되지 않습니다. 자동 키 교체와 활성화 및 비활성화에 대한 지침에 대한 자세한 내용은 AWS KMS keys 교체 단원을 참조하십시오.
퍼블릭 키 다운로드
다중 리전 비대칭 KMS 키를 생성할 때 AWS KMS에서 기본 키에 대한 RSA 또는 타원 곡선(ECC) 키 페어를 생성합니다. 그런 다음 해당 키 페어 기본 키의 모든 복제본에 복사합니다. 따라서 기본 키 또는 해당 복제 키에서 퍼블릭 키를 다운로드할 수 있습니다. 항상 동일한 키 구성 요소를 얻을 수 있습니다.
AWS KMS에서 퍼블릭 키를 다운로드하고 사용하는 방법에 대한 자세한 내용은 퍼블릭 키 다운로드 시 특별 고려 사항 단원을 참조하십시오. 지침은 퍼블릭 키 다운로드 섹션을 참조하십시오.
