다중 리전 복제본 키 생성
AWS KMS 콘솔에서 ReplicateKey 작업을 사용하거나 AWS CloudFormation 템플릿을 사용하여 다중 리전 복제본 키를 생성할 수 있습니다. CreateKey 작업을 사용하여 복제본 키를 생성할 수 없습니다.
다음 절차를 사용하여 대칭 암호화 KMS 키, 비대칭 KMS 키 또는 HMAC KMS 키를 포함한 다중 리전 기본 키를 복제할 수 있습니다.
이 작업이 완료되면 새 복제본 키의 임시 키 상태가 Creating입니다. 이 키 상태는 새 복제본 키 생성 프로세스가 완료되면 몇 초 후에 Enabled(또는 PendingImport)로 변경됩니다. 키 상태가 Creating인 동안에는 키를 관리할 수 있지만 아직 암호화 작업에 사용할 수는 없습니다. 복제 키를 프로그래밍 방식으로 만들고 사용하는 경우 KMSInvalidStateException에서 다시 시도하거나 DescribeKey를 호출하여 사용하기 전에 KeyState 값을 확인하십시오.
실수로 복제본 키를 삭제한 경우 이 절차를 사용하여 복제본을 다시 만들 수 있습니다. 동일한 프라이머리 키를 동일한 리전에 복제할 경우 생성하는 새 복제본 키가 원래 복제본 키와 동일한 공유 속성을 갖습니다.
자세히 알아보기
-
키 구성 요소를 가져와서 다중 리전 복제본 키를 만들려면 가져온 키 구성 요소를 사용하여 복제본 키 생성 단원을 참조하십시오.
-
AWS CloudFormation 템플릿을 사용하여 키를 복제하려면 AWS CloudFormation 사용 설명서에서 AWS::KMS::ReplicaKey를 참조하세요.
복제본 리전
일반적으로 비즈니스 모델 및 규정 요구 사항에 따라 다중 리전 키를 AWS 리전으로 복제하도록 선택합니다. 예를 들어 리소스를 보관하는 리전에 키를 복제할 수 있습니다. 또는 재해 복구 요구 사항을 준수하기 위해 키를 지리적으로 먼 리전으로 복제할 수 있습니다.
다음은 복제본 리전에 대한 AWS KMS 요구 사항입니다. 선택한 리전이 이러한 요구 사항을 준수하지 않는 경우 키를 복제하려는 시도가 실패합니다.
-
리전당 관련 다중 리전 키 1개 — 기본 키와 동일한 리전에서 또는 기본 키의 다른 복제본과 동일한 리전에서 복제본 키를 만들 수 없습니다.
해당 프라이머리 키의 복제본이 이미 있는 리전에서 프라이머리 키를 복제하려고 하면 시도가 실패합니다. 리전의 현재 복제본 키가 PendingDeletion 키 상태인 경우 복제본 키 삭제를 취소하거나 복제본 키가 삭제될 때까지 기다릴 수 있습니다.
-
동일한 리전에 있는 여러 개의 관련되지 않은 다중 리전 키 — 동일한 리전에 여러 개의 관련되지 않은 다중 리전 키를 가질 수 있습니다. 예를 들어
us-east-1리전에 두 개의 다중 리전 기본 키가 있을 수 있습니다. 각 기본 키는us-west-2리전에 복제본 키를 가질 수 있습니다. 동일한 파티션의 리전 — 복제본 키 리전은 기본 키 리전과 동일한 AWS 파티션에 있어야 합니다.
-
리전을 활성화해야 함 — 지역이 기본적으로 비활성화되어 있는 경우 AWS 계정에 대해 활성화될 때까지 해당 리전에 리소스를 생성할 수 없습니다.
복제본 키 생성(콘솔)
AWS KMS 콘솔에서 동일한 작업에서 다중 리전 기본 키의 복제본을 하나 이상 만들 수 있습니다.
이 절차는 콘솔에 표준 단일 리전 KMS 키를 만드는 것과 유사합니다. 그러나 복제 키는 기본 키를 기반으로 하기 때문에 키 사양(대칭 또는 비대칭), 키 사용 또는 키 출처와 같은 공유 속성 값을 선택하지 않습니다.
별칭, 태그, 설명 및 키 정책을 포함하여 공유되지 않는 속성을 지정합니다. 편의상 콘솔에는 기본 키의 현재 속성 값이 표시되지만 변경할 수 있습니다. 기본 키 값을 유지하더라도 AWS KMS는 이러한 값을 동기화 상태로 유지하지 않습니다.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
-
탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.
-
다중 리전 기본 키의 키 ID 또는 별칭을 선택합니다. 그러면 KMS 키의 키 세부 정보 페이지가 열립니다.
다중 리전 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여 테이블에 리전 구분(Regionality) 열을 추가합니다.
-
리전 구분(Regionality) 탭을 선택합니다.
-
관련 다중 리전 키 섹션에서 새 복제본 키 생성을 선택합니다.
관련 다중 리전 키섹션에는 기본 키와 해당 복제 키의 리전이 표시됩니다. 이 표시를 사용하여 새 복제본 키의 리전을 선택할 수 있습니다.
-
하나 이상의 AWS 리전을 선택합니다. 이 절차에서는 선택한 각 리전에 복제본 키를 만듭니다.
메뉴에는 기본 키와 동일한 AWS 파티션의 리전만 포함됩니다. 이미 관련된 다중 리전 키가 있는 리전이 표시되지만 선택할 수는 없습니다. 메뉴의 모든 리전에 키를 복제할 권한이 없을 수 있습니다.
리전 선택을 마치면 메뉴를 닫습니다. 선택한 리전이 표시됩니다. 리전으로의 복제를 취소하려면 리전 이름 옆에 있는 X를 선택합니다.
-
복제본 키에 대한 별칭을 입력합니다.
콘솔에 기본 키의 현재 별칭 중 하나가 표시되지만 변경할 수 있습니다. 다중 리전 기본 키와 해당 복제본에 동일한 별칭 또는 다른 별칭을 지정할 수 있습니다. 별칭은 다중 리전 키의 공유 속성이 아닙니다. AWS KMS는 다중 리전 키의 별칭을 동기화하지 않습니다.
별칭을 추가, 삭제 또는 업데이트하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC 및 별칭을 사용하여 KMS 키에 대한 액세스 제어 단원을 참조하십시오.
-
(선택 사항) 복제본 키에 대한 설명을 입력합니다.
콘솔에 기본 키의 현재 설명이 표시되지만 변경할 수 있습니다. 설명은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 설명 또는 다른 설명을 지정할 수 있습니다. AWS KMS는 다중 리전 키의 설명을 동기화하지 않습니다.
-
(선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 복제본 키에 두 개 이상의 태그를 할당하려면 태그 추가를 선택합니다.
콘솔에 기본 키에 현재 연결된 태그가 표시되지만 변경할 수 있습니다. 태그는 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 태그 또는 다른 태그를 지정할 수 있습니다. AWS KMS는 다중 리전 키의 태그를 동기화하지 않습니다.
KMS 키에 태그를 지정하거나 해제하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC 및 태그를 사용하여 KMS 키에 대한 액세스 제어 단원을 참조하세요.
-
복제본 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다.
참고 IAM 정책은 다른 IAM 사용자 및 역할에 복제본 키 관리 권한을 제공할 수 있습니다.
이 단계는 복제본 키에 대한 키 정책을 만드는 프로세스를 시작합니다. 콘솔에 기본 키의 현재 키 정책이 표시되지만 변경할 수 있습니다. 키 정책은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 키 정책 또는 다른 키 정책을 지정할 수 있습니다. AWS KMS는 키 정책을 동기화하지 않습니다. 언제든지 KMS 키의 키 정책을 변경할 수 있습니다.
-
키 관리자 선택을 포함하여 키 정책 생성 단계를 완료합니다. 키 정책을 검토한 후 마침(Finish)을 클릭하여 복제본 키를 생성합니다.
복제본 키 생성(AWS KMS API)
다중 리전 복제본 키를 생성하려면 ReplicateKey 작업을 수행합니다. CreateKey 작업을 사용하여 복제본 키를 생성할 수 없습니다. 이 작업은 복제본 키를 한 번에 하나씩 생성합니다. 지정하는 리전은 복제본 키에 대한 리전 요구 사항을 준수해야 합니다.
ReplicateKey 작업을 사용할 때 다중 리전 키의 공유 속성에 대한 값을 지정하지 않습니다. 공유 속성 값은 기본 키에서 복사되고 동기화된 상태로 유지됩니다. 그러나 공유되지 않는 속성의 값을 지정할 수 있습니다. 그렇지 않을 경우 AWS KMS는 기본 키 값이 아닌 KMS 키에 대한 표준 기본값을 적용합니다.
Tags, Description 또는 KeyPolicy 파라미터에 대한 값을 지정하지 않으면 ,AWS KMS는 태그 없이 빈 문자열 설명 및 기본 키 정책을 사용하여 복제본 키를 생성합니다.
예를 들어 다음 명령은 아시아 태평양(시드니) 리전(ap-southeast-2)에 다중 리전 복제본 키를 만듭니다. 이 복제본 키는 KeyId 파라미터 값으로 식별되는 미국 동부(버지니아 북부) 리전(us-east-1)의 기본 키를 기반으로 모델링됩니다. 이 예에서는 키 정책을 포함하여 다른 모든 속성을 위해 기본값을 허용합니다.
응답은 새 복제 키를 설명합니다. 여기에는 공유 속성에 대한 필드(예: KeyId, KeySpec, KeyUsage 및 키 구성 요소 출처(Origin))가 포함되어 있습니다. 여기에는 Description, 키 정책(ReplicaKeyPolicy) 및 태그(ReplicaTags)와 같이 기본 키와 무관한 속성도 포함됩니다.
응답에는 ap-southeast-2 리전에서 방금 생성된 키를 포함하여 기본 키의 키 ARN 및 리전 및 모든 복제본 키가 포함됩니다. 이 예에서 ReplicaKey 요소는 이 기본 키가 이미 유럽(아일랜드) 리전(eu-west-1)에 복제되었음을 보여줍니다.
aws kms replicate-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --replica-region ap-southeast-2${ "ReplicaKeyMetadata": { "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "REPLICA", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" } ] }, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1607472987.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] }, "ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",..., "ReplicaTags": [] }
