다중 리전 키 관리 - AWS Key Management Service

다중 리전 키 관리

대부분의 작업에서 단일 리전 키를 사용하고 관리하는 것과 동일한 방식으로 다중 리전 키를 관리합니다. 키를 활성화 및 비활성화하고 별칭, 키 정책, 권한 부여 및 태그를 설정 및 업데이트할 수 있습니다. 그러나 다중 리전 키의 관리는 다음과 같은 점에서 다릅니다.

  • 기본 리전을 업데이트할 수 있습니다. 이렇게 하면 복제본 키 중 하나가 기본 키로 변경되고 현재 기본 키가 복제본으로 변경됩니다.

  • 사용자가 기본 키에서만 자동 키 교체를 사용합니다.

  • 관련 기본 키 또는 복제본 키에서 비대칭 다중 리전 키를 위한 퍼블릭 키를 가져올 수 있습니다.

KMS 키를 생성할 때 설정한 다중 리전 속성은 변경할 수 없습니다. 단일 리전 키를 다중 리전 키로 변환하거나 다중 리전 키를 단일 리전 키로 변환할 수 없습니다.

기본 리전 업데이트

관련된 다중 리전 키에는 기본 키가 있어야 합니다. 그러나 기본 키를 변경할 수 있습니다. 이 작업(기본 리전 업데이트)은 현재 기본 키를 복제본 키로 변환하고 관련 복제본 키 중 하나를 기본 키로 변환합니다. 복제본 키를 유지 관리하는 동안 현재 기본 키를 삭제하거나 키 관리자와 동일한 리전에서 기본 키를 찾아야 하는 경우 이 작업을 수행할 수 있습니다.

관련 복제 키를 새 기본 키로 선택할 수 있습니다. 작업이 시작될 때 기본 키와 복제본 키 모두 Enabled 키 상태에 있어야 합니다.

이 작업이 완료된 후에도 기본 지역을 업데이트하는 프로세스가 몇 초 더 진행 중일 수 있습니다. 이 시간 동안 이전 기본 키와 새 기본 키의 임시 키 상태는 업데이트 중입니다. 키 상태가 Updating인 동안에는 암호화 작업에서 키를 사용할 수 있지만 새 기본 키를 복제하거나 이러한 키 활성화 또는 비활성화와 같은 특정 관리 작업을 수행할 수 없습니다. DescribeKey와 같은 작업은 이전 기본 키와 새 기본 키를 모두 복제본으로 표시할 수 있습니다. Enabled 키 상태는 업데이트가 완료되면 복원됩니다.

기본 키가 미국 동부(버지니아 북부)(us-east-1) 있고 복제 키가 유럽(아일랜드)(eu-west-1)에 있다고 가정합니다. 업데이트 기능을 사용하여 미국 동부(버지니아 북부)(us-east-1)의 기본 키를 복제 키로 변경하고 유럽(아일랜드)(eu-west-1)의 복제 키를 기본 키로 변경할 수 있습니다.


                기본 키 업데이트

업데이트 프로세스가 완료되면 유럽 (아일랜드)(eu-west-1) 리전의 다중 리전 키가 다중 리전 기본 키이고 미국 동부(버지니아 북부)(us-east-1) 리전의 키는 복제 키입니다. 다른 관련 복제 키가 있는 경우 새 기본 키의 복제본이 됩니다. 다음에 AWS KMS가 다중 리전 키의 공유 속성을 동기화할 때 새 기본 키에서 공유 속성을 가져와 이전 기본 키를 포함하여 복제 키에 복사합니다.

업데이트 작업은 다중 리전 키의 키 ARN에 영향을 주지 않습니다. 또한 키 구성 요소와 같은 공유 특성이나 키 정책과 같은 독립 특성에는 영향을 주지 않습니다. 그러나 새 기본 키의 키 정책을 업데이트하고자 할 수 있습니다. 예를 들어 신뢰할 수 있는 보안 주체에 대한 kms:ReplicateKey 새 기본 키에 추가하고 새 복제본 키에서 제거할 수 있습니다.

Updating 키 상태

기본 리전을 업데이트하는 프로세스는 대부분의 AWS KMS 작업에 영향을 미치는 짧은 최종 일관성 지연보다 조금 더 오래 걸립니다. UpdatePrimaryRegion 작업이 반환되거나 콘솔에서 업데이트 절차를 완료한 후에도 프로세스가 계속 진행 중일 수 있습니다. DescribeKey와 같은 작업은 프로세스가 완료될 때까지 이전 기본 키와 새 기본 키를 모두 복제본으로 표시할 수 있습니다.

기본 리전을 업데이트하는 과정에서 이전 기본 키와 새 기본 키는 Updating 키 상태에 있습니다. 업데이트 프로세스가 성공적으로 완료되면 두 키 모두 Enabled 키 상태로 돌아갑니다. Updating 상태에서는 키 활성화 및 비활성화와 같은 일부 관리 작업을 사용할 수 없습니다. 그러나 중단 없이 암호화 작업에서 두 키를 계속 사용할 수 있습니다. Updating 키 상태의 효과에 대한 정보는 AWS KMS 키의 키 상태 단원을 참조하십시오.

기본 리전 업데이트(콘솔)

AWS KMS 콘솔에서 기본 키를 업데이트할 수 있습니다. 현재 기본 키에 대한 키 세부 정보 페이지에서 시작합니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 다중 리전 기본 키의 키 ID 또는 별칭을 선택합니다. 그러면 기본 키에 대한 키 세부 정보 페이지가 열립니다.

    다중 리전 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여 테이블에 리전 구분(Regionality) 열을 추가합니다.

  5. 리전 구분(Regionality) 탭을 선택합니다.

  6. 기본 키 섹션에서 기본 리전 변경(Change primary Region)을 선택합니다.

  7. 새 기본 키의 리전을 선택합니다. 메뉴에서 리전을 하나만 선택할 수 있습니다.

    기본 리전 변경 메뉴에는 관련 다중 리전 키가 있는 리전만 포함됩니다. 메뉴의 모든 리전에서기본 리전을 업데이트할 권한이 없을 수 있습니다.

  8. 기본 리전 변경을 선택합니다.

기본 리전 업데이트(AWS KMS API)

관련 다중 지역 키 집합에서 기본 키를 변경하려면 UpdatePrimaryRegion 작업을 수행합니다.

KeyId 파라미터를 사용하여 현재 기본 키를 식별합니다. PrimaryRegion 파라미터를 사용하여 새 기본 키의 AWS 리전을 표시하십시오. 기본 키에 새 기본 리전에 복제본이 없는 경우 작업이 실패합니다.

다음 예에서는 기본 키를 us-west-2 리전의 다중 리전 키에서 eu-west-1 리전의 복제본으로 변경합니다. KeyId 파라미터는 us-west-2 리전의 현재 기본 키를 식별합니다. PrimaryRegion 파라미터는 새 기본 키 eu-west-1의 AWS 리전를 지정합니다.

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

성공하면 이 작업은 출력을 반환하지 않고, HTTP 상태 코드만 반환합니다. 효과를 확인하려면 다중 리전 키 중 하나에서 DescribeKey 작업을 호출하십시오. 키 상태가 Enabled로 반환될 때까지 기다릴 수 있습니다. 키 상태가 업데이트 중인 경우 키 값은 여전히 유동적일 수 있습니다.

예를 들어 다음 DescribeKey 호출은 eu-west-1 리전의 다중 리전 키에 대한 세부 정보를 가져옵니다. 출력은 eu-west-1 리전의 다중 리전 키가 이제 기본 키임을 보여줍니다. us-west-2 리전의 관련 다중 리전 키(동일한 키 ID)는 이제 복제본 키입니다.

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }

다중 리전 키 교체

다중 리전 키의 키 구성 요소 자동 교체를 활성화 및 비활성화할 수 있습니다. 자동 키 교체는 다중 리전 키의 공유 속성입니다.

기본 키에서만 자동 키 교체를 활성화 및 비활성화합니다.

  • AWS KMS가 다중 리전 키를 동기화할 때 기본 키에서 모든 관련 복제본 키로 키 교체 속성 설정을 복사합니다.

  • AWS KMS가 키 구성 요소를 교체할 때 기본 키에 대한 새 키 구성 요소를 만든 다음 리전 경계를 넘어 모든 관련 복제본 키에 새 키 구성 요소를 복사합니다. 키 구성 요소는 AWS KMS를 암호화되지 않은 상태로 두지 않습니다. 이 단계는 암호화 작업에 키가 사용되기 전에 키 구성 요소가 완전히 동기화되도록 신중하게 제어됩니다.

  • AWS KMS는 기본 키와 모든 복제 키에서 해당 키 구성 요소를 사용할 수 있을 때까지 새 키 구성 요소로 데이터를 암호화하지 않습니다.

  • 교체된 기본 키를 복제하면 새 복제 키에는 현재 키 구성 요소와 관련된 다중 리전 키에 대한 모든 이전 버전의 키 구성 요소가 포함됩니다.

이 패턴은 관련된 다중 리전 키가 완벽하게 상호 운용되도록 보장합니다. 다중 리전 키는 키가 생성되기 전에 암호문을 암호화한 경우에도 관련 다중 리전 키로 암호화된 모든 암호문을 해독할 수 있습니다.

비대칭 KMS 키나 가져온 키 구성 요소를 사용하는 KMS 키에는 자동 키 교체가 지원되지 않습니다. 자동 키 교체와 활성화 및 비활성화에 대한 지침에 대한 자세한 내용은 AWS KMS keys 교체 단원을 참조하십시오.

퍼블릭 키 다운로드

다중 리전 비대칭 KMS 키를 생성할 때 AWS KMS에서 기본 키에 대한 RSA 또는 타원 곡선(ECC) 키 페어를 생성합니다. 그런 다음 해당 키 페어 기본 키의 모든 복제본에 복사합니다. 따라서 기본 키 또는 해당 복제 키에서 퍼블릭 키를 다운로드할 수 있습니다. 항상 동일한 키 구성 요소를 얻을 수 있습니다.

AWS KMS에서 퍼블릭 키를 다운로드하고 사용하는 방법에 대한 자세한 내용은 퍼블릭 키 다운로드 시 특별 고려 사항 단원을 참조하십시오. 지침은 퍼블릭 키 다운로드 섹션을 참조하십시오.