다중 리전 키 관리 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 리전 키 관리

대부분의 작업에서 단일 리전 키를 사용하고 관리하는 것과 동일한 방식으로 다중 리전 키를 관리합니다. 키를 활성화 및 비활성화하고 별칭, 키 정책, 권한 부여 및 태그를 설정 및 업데이트할 수 있습니다. 그러나 다중 리전 키의 관리는 다음과 같은 점에서 다릅니다.

  • 기본 리전을 업데이트할 수 있습니다. 이렇게 하면 복제본 키 중 하나가 기본 키로 변경되고 현재 기본 키가 복제본으로 변경됩니다.

  • 사용자가 기본 키에서만 자동 키 교체를 사용합니다.

  • 관련 기본 키 또는 복제본 키에서 비대칭 다중 리전 키를 위한 퍼블릭 키를 가져올 수 있습니다.

KMS 키를 생성할 때 설정한 다중 리전 속성은 변경할 수 없습니다. 단일 리전 키를 다중 리전 키로 변환하거나 다중 리전 키를 단일 리전 키로 변환할 수 없습니다.

기본 리전 업데이트

관련된 다중 리전 키에는 기본 키가 있어야 합니다. 그러나 기본 키를 변경할 수 있습니다. 이 작업(기본 리전 업데이트)은 현재 기본 키를 복제본 키로 변환하고 관련 복제본 키 중 하나를 기본 키로 변환합니다. 복제본 키를 유지 관리하는 동안 현재 기본 키를 삭제하거나 키 관리자와 동일한 리전에서 기본 키를 찾아야 하는 경우 이 작업을 수행할 수 있습니다.

관련 복제 키를 새 기본 키로 선택할 수 있습니다. 작업이 시작될 때 기본 키와 복제본 키 모두 Enabled 키 상태에 있어야 합니다.

이 작업이 완료된 후에도 기본 지역을 업데이트하는 프로세스가 몇 초 더 진행 중일 수 있습니다. 이 시간 동안 이전 기본 키와 새 기본 키의 임시 키 상태는 업데이트 중입니다. 키 상태가 Updating인 동안에는 암호화 작업에서 키를 사용할 수 있지만 새 기본 키를 복제하거나 이러한 키 활성화 또는 비활성화와 같은 특정 관리 작업을 수행할 수 없습니다. 와 같은 작업은 이전 기본 키와 새 기본 키를 모두 복제본으로 표시할 DescribeKey수 있습니다. Enabled 키 상태는 업데이트가 완료되면 복원됩니다.

기본 키가 미국 동부(버지니아 북부)(us-east-1) 있고 복제 키가 유럽(아일랜드)(eu-west-1)에 있다고 가정합니다. 업데이트 기능을 사용하여 미국 동부(버지니아 북부)(us-east-1)의 기본 키를 복제 키로 변경하고 유럽(아일랜드)(eu-west-1)의 복제 키를 기본 키로 변경할 수 있습니다.

기본 키 업데이트

업데이트 프로세스가 완료되면 유럽 (아일랜드)(eu-west-1) 리전의 다중 리전 키가 다중 리전 기본 키이고 미국 동부(버지니아 북부)(us-east-1) 리전의 키는 복제 키입니다. 다른 관련 복제 키가 있는 경우 새 기본 키의 복제본이 됩니다. 다음에 다중 지역 키의 공유 속성을 AWS KMS 동기화할 때는 새 기본 키에서 공유 속성을 가져와 이전 기본 키를 포함한 복제 키에 복사합니다.

업데이트 작업은 다중 리전 키의 키 ARN에 영향을 주지 않습니다. 또한 키 구성 요소와 같은 공유 특성이나 키 정책과 같은 독립 특성에는 영향을 주지 않습니다. 그러나 새 기본 키의 키 정책을 업데이트하고자 할 수 있습니다. 예를 들어 kms: 신뢰할 수 있는 보안 주체에 대한 ReplicateKey 권한을 새 기본 키에 추가하고 이를 새 복제 키에서 제거할 수 있습니다.

Updating 키 상태

기본 지역을 업데이트하는 프로세스는 대부분의 작업에 영향을 미치는 짧은 최종 일관성 지연보다 약간 더 오래 걸립니다. AWS KMS UpdatePrimaryRegion 작업이 반환되거나 콘솔에서 업데이트 절차를 완료한 후에도 프로세스가 계속 진행 중일 수 있습니다. 와 같은 작업은 프로세스가 DescribeKey완료될 때까지 이전 기본 키와 새 기본 키를 모두 복제본으로 표시할 수 있습니다.

기본 리전을 업데이트하는 과정에서 이전 기본 키와 새 기본 키는 Updating 키 상태에 있습니다. 업데이트 프로세스가 성공적으로 완료되면 두 키 모두 Enabled 키 상태로 돌아갑니다. Updating 상태에서는 키 활성화 및 비활성화와 같은 일부 관리 작업을 사용할 수 없습니다. 그러나 중단 없이 암호화 작업에서 두 키를 계속 사용할 수 있습니다. Updating 키 상태의 효과에 대한 정보는 키의 주요 상태 AWS KMS 단원을 참조하십시오.

기본 리전 업데이트(콘솔)

콘솔에서 기본 키를 업데이트할 수 있습니다. AWS KMS 현재 기본 키에 대한 키 세부 정보 페이지에서 시작합니다.

  1. https://console.aws.amazon.com/kms 에서 AWS Management Console 로그인하고 AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

  2. 를 변경하려면 AWS 리전페이지 오른쪽 상단에 있는 지역 선택기를 사용하십시오.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 다중 리전 기본 키의 키 ID 또는 별칭을 선택합니다. 그러면 기본 키에 대한 키 세부 정보 페이지가 열립니다.

    다중 리전 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여 테이블에 리전 구분(Regionality) 열을 추가합니다.

  5. 리전 구분(Regionality) 탭을 선택합니다.

  6. 기본 키 섹션에서 기본 리전 변경(Change primary Region)을 선택합니다.

  7. 새 기본 키의 리전을 선택합니다. 메뉴에서 리전을 하나만 선택할 수 있습니다.

    기본 리전 변경 메뉴에는 관련 다중 리전 키가 있는 리전만 포함됩니다. 메뉴의 모든 리전에서기본 리전을 업데이트할 권한이 없을 수 있습니다.

  8. 기본 리전 변경을 선택합니다.

기본 지역 (API) 업데이트AWS KMS

관련된 다중 지역 키 세트의 기본 키를 변경하려면 UpdatePrimaryRegion작업을 사용하십시오.

KeyId 파라미터를 사용하여 현재 기본 키를 식별합니다. PrimaryRegion파라미터를 사용하여 새 기본 키를 표시할 수 있습니다. AWS 리전 기본 키에 새 기본 리전에 복제본이 없는 경우 작업이 실패합니다.

다음 예에서는 기본 키를 us-west-2 리전의 다중 리전 키에서 eu-west-1 리전의 복제본으로 변경합니다. KeyId 파라미터는 us-west-2 리전의 현재 기본 키를 식별합니다. PrimaryRegion파라미터는 새 기본 키의 값을 지정합니다eu-west-1. AWS 리전

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

성공하면 이 작업은 출력을 반환하지 않고, HTTP 상태 코드만 반환합니다. 효과를 확인하려면 다중 지역 키 중 하나에서 DescribeKey작업을 호출하십시오. 키 상태가 Enabled로 반환될 때까지 기다릴 수 있습니다. 키 상태가 업데이트 중인 경우 키 값은 여전히 유동적일 수 있습니다.

예를 들어 다음 DescribeKey 호출은 eu-west-1 리전의 다중 리전 키에 대한 세부 정보를 가져옵니다. 출력은 eu-west-1 리전의 다중 리전 키가 이제 기본 키임을 보여줍니다. us-west-2 리전의 관련 다중 리전 키(동일한 키 ID)는 이제 복제본 키입니다.

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

다중 리전 키 교체

다중 지역 키에서 자동 회전을 활성화 및 비활성화하고 키 구성 요소의 온디맨드 회전을 수행할 수 있습니다. 키 순환은 다중 지역 키의 공유 속성입니다.

기본 키에서만 자동 키 교체를 활성화 및 비활성화합니다. 기본 키에서만 온디맨드 로테이션을 시작합니다.

  • 다중 지역 키를 AWS KMS 동기화할 때 기본 키의 키 순환 속성 설정을 모든 관련 복제 키로 복사합니다.

  • 키 AWS KMS 구성 요소를 교체하면 기본 키에 대한 새 키 구성 요소를 만든 다음 새 키 구성 요소를 지역 경계를 넘어 모든 관련 복제 키에 복사합니다. 키 자료는 암호화되지 않은 상태로 절대 남지 AWS KMS 않습니다. 이 단계는 암호화 작업에 키가 사용되기 전에 키 구성 요소가 완전히 동기화되도록 신중하게 제어됩니다.

  • AWS KMS 기본 키와 모든 복제 키에서 키 자료를 사용할 수 있을 때까지 새 키 구성 요소로 데이터를 암호화하지 않습니다.

  • 교체된 기본 키를 복제하면 새 복제 키에는 현재 키 구성 요소와 관련된 다중 리전 키에 대한 모든 이전 버전의 키 구성 요소가 포함됩니다.

이 패턴은 관련된 다중 리전 키가 완벽하게 상호 운용되도록 보장합니다. 다중 리전 키는 키가 생성되기 전에 암호문을 암호화한 경우에도 관련 다중 리전 키로 암호화된 모든 암호문을 해독할 수 있습니다.

비대칭 KMS 키나 가져온 키 구성 요소가 있는 KMS 키에는 자동 키 교체가 지원되지 않습니다. 자동 및 온디맨드 키 교체에 대한 자세한 내용은 을 참조하십시오. 회전하는 AWS KMS keys

퍼블릭 키 다운로드

다중 지역 비대칭 KMS 키를 생성하는 경우 기본 키에 대한 RSA 또는 타원 곡선 (ECC) 키 쌍을 AWS KMS 생성합니다. 그런 다음 해당 키 페어 기본 키의 모든 복제본에 복사합니다. 따라서 기본 키 또는 해당 복제 키에서 퍼블릭 키를 다운로드할 수 있습니다. 항상 동일한 키 구성 요소를 얻을 수 있습니다.

외부에서 공개 키를 다운로드하고 사용하는 방법에 대한 자세한 내용은 을 참조하십시오. AWS KMS퍼블릭 키 다운로드 시 특별 고려 사항 지침은 퍼블릭 키 다운로드 단원을 참조하세요.