다중 리전 복제본 키 생성 - AWS Key Management Service

다중 리전 복제본 키 생성

AWS KMS 콘솔에서 ReplicateKey 작업을 사용하거나 AWS CloudFormation 템플릿을 사용하여 다중 리전 복제본 키를 생성할 수 있습니다. CreateKey 작업을 사용하여 복제본 키를 생성할 수 없습니다.

다음 절차를 사용하여 대칭 암호화 KMS 키, 비대칭 KMS 키 또는 HMAC KMS 키를 포함한 다중 리전 기본 키를 복제할 수 있습니다.

이 작업이 완료되면 새 복제본 키의 임시 키 상태Creating입니다. 이 키 상태는 새 복제본 키 생성 프로세스가 완료되면 몇 초 후에 Enabled(또는 PendingImport)로 변경됩니다. 키 상태가 Creating인 동안에는 키를 관리할 수 있지만 아직 암호화 작업에 사용할 수는 없습니다. 복제 키를 프로그래밍 방식으로 만들고 사용하는 경우 KMSInvalidStateException에서 다시 시도하거나 DescribeKey를 호출하여 사용하기 전에 KeyState 값을 확인하십시오.

실수로 복제본 키를 삭제한 경우 이 절차를 사용하여 복제본을 다시 만들 수 있습니다. 동일한 프라이머리 키를 동일한 리전에 복제할 경우 생성하는 새 복제본 키가 원래 복제본 키와 동일한 공유 속성을 갖습니다.

자세히 알아보기

복제본 리전

일반적으로 비즈니스 모델 및 규정 요구 사항에 따라 다중 리전 키를 AWS 리전으로 복제하도록 선택합니다. 예를 들어 리소스를 보관하는 리전에 키를 복제할 수 있습니다. 또는 재해 복구 요구 사항을 준수하기 위해 키를 지리적으로 먼 리전으로 복제할 수 있습니다.

다음은 복제본 리전에 대한 AWS KMS 요구 사항입니다. 선택한 리전이 이러한 요구 사항을 준수하지 않는 경우 키를 복제하려는 시도가 실패합니다.

  • 리전당 관련 다중 리전 키 1개 — 기본 키와 동일한 리전에서 또는 기본 키의 다른 복제본과 동일한 리전에서 복제본 키를 만들 수 없습니다.

    해당 프라이머리 키의 복제본이 이미 있는 리전에서 프라이머리 키를 복제하려고 하면 시도가 실패합니다. 리전의 현재 복제본 키가 PendingDeletion 키 상태인 경우 복제본 키 삭제를 취소하거나 복제본 키가 삭제될 때까지 기다릴 수 있습니다.

  • 동일한 리전에 있는 여러 개의 관련되지 않은 다중 리전 키 — 동일한 리전에 여러 개의 관련되지 않은 다중 리전 키를 가질 수 있습니다. 예를 들어 us-east-1 리전에 두 개의 다중 리전 기본 키가 있을 수 있습니다. 각 기본 키는 us-west-2 리전에 복제본 키를 가질 수 있습니다.

  • 동일한 파티션의 리전 — 복제본 키 리전은 기본 키 리전과 동일한 AWS 파티션에 있어야 합니다.

  • 리전을 활성화해야 함 — 지역이 기본적으로 비활성화되어 있는 경우 AWS 계정에 대해 활성화될 때까지 해당 리전에 리소스를 생성할 수 없습니다.

복제본 키 생성(콘솔)

AWS KMS 콘솔에서 동일한 작업에서 다중 리전 기본 키의 복제본을 하나 이상 만들 수 있습니다.

이 절차는 콘솔에 표준 단일 리전 KMS 키를 만드는 것과 유사합니다. 그러나 복제 키는 기본 키를 기반으로 하기 때문에 키 사양(대칭 또는 비대칭), 키 사용 또는 키 출처와 같은 공유 속성 값을 선택하지 않습니다.

별칭, 태그, 설명 및 키 정책을 포함하여 공유되지 않는 속성을 지정합니다. 편의상 콘솔에는 기본 키의 현재 속성 값이 표시되지만 변경할 수 있습니다. 기본 키 값을 유지하더라도 AWS KMS는 이러한 값을 동기화 상태로 유지하지 않습니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키(Customer managed keys)를 선택합니다.

  4. 다중 리전 기본 키의 키 ID 또는 별칭을 선택합니다. 그러면 KMS 키의 키 세부 정보 페이지가 열립니다.

    다중 리전 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여 테이블에 리전 구분(Regionality) 열을 추가합니다.

  5. 리전 구분(Regionality) 탭을 선택합니다.

  6. 관련 다중 리전 키 섹션에서 새 복제본 키 생성을 선택합니다.

    관련 다중 리전 키섹션에는 기본 키와 해당 복제 키의 리전이 표시됩니다. 이 표시를 사용하여 새 복제본 키의 리전을 선택할 수 있습니다.

  7. 하나 이상의 AWS 리전을 선택합니다. 이 절차에서는 선택한 각 리전에 복제본 키를 만듭니다.

    메뉴에는 기본 키와 동일한 AWS 파티션의 리전만 포함됩니다. 이미 관련된 다중 리전 키가 있는 리전이 표시되지만 선택할 수는 없습니다. 메뉴의 모든 리전에 키를 복제할 권한이 없을 수 있습니다.

    리전 선택을 마치면 메뉴를 닫습니다. 선택한 리전이 표시됩니다. 리전으로의 복제를 취소하려면 리전 이름 옆에 있는 X를 선택합니다.

  8. 복제본 키에 대한 별칭을 입력합니다.

    콘솔에 기본 키의 현재 별칭 중 하나가 표시되지만 변경할 수 있습니다. 다중 리전 기본 키와 해당 복제본에 동일한 별칭 또는 다른 별칭을 지정할 수 있습니다. 별칭은 다중 리전 키의 공유 속성이 아닙니다. AWS KMS는 다중 리전 키의 별칭을 동기화하지 않습니다.

    별칭을 추가, 삭제 또는 업데이트하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC별칭을 사용하여 KMS 키에 대한 액세스 제어 단원을 참조하십시오.

  9. (선택 사항) 복제본 키에 대한 설명을 입력합니다.

    콘솔에 기본 키의 현재 설명이 표시되지만 변경할 수 있습니다. 설명은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 설명 또는 다른 설명을 지정할 수 있습니다. AWS KMS는 다중 리전 키의 설명을 동기화하지 않습니다.

  10. (선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 복제본 키에 두 개 이상의 태그를 할당하려면 태그 추가를 선택합니다.

    콘솔에 기본 키에 현재 연결된 태그가 표시되지만 변경할 수 있습니다. 태그는 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 태그 또는 다른 태그를 지정할 수 있습니다. AWS KMS는 다중 리전 키의 태그를 동기화하지 않습니다.

    KMS 키에 태그를 지정하거나 해제하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC태그를 사용하여 KMS 키에 대한 액세스 제어 단원을 참조하세요.

  11. 복제본 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다.

    참고

    IAM 정책은 다른 IAM 사용자 및 역할에 복제본 키 관리 권한을 제공할 수 있습니다.

    이 단계는 복제본 키에 대한 키 정책을 만드는 프로세스를 시작합니다. 콘솔에 기본 키의 현재 키 정책이 표시되지만 변경할 수 있습니다. 키 정책은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 키 정책 또는 다른 키 정책을 지정할 수 있습니다. AWS KMS는 키 정책을 동기화하지 않습니다. 언제든지 KMS 키의 키 정책을 변경할 수 있습니다.

  12. 키 관리자 선택을 포함하여 키 정책 생성 단계를 완료합니다. 키 정책을 검토한 후 마침(Finish)을 클릭하여 복제본 키를 생성합니다.

복제본 키 생성(AWS KMS API)

다중 리전 복제본 키를 생성하려면 ReplicateKey 작업을 수행합니다. CreateKey 작업을 사용하여 복제본 키를 생성할 수 없습니다. 이 작업은 복제본 키를 한 번에 하나씩 생성합니다. 지정하는 리전은 복제본 키에 대한 리전 요구 사항을 준수해야 합니다.

ReplicateKey 작업을 사용할 때 다중 리전 키의 공유 속성에 대한 값을 지정하지 않습니다. 공유 속성 값은 기본 키에서 복사되고 동기화된 상태로 유지됩니다. 그러나 공유되지 않는 속성의 값을 지정할 수 있습니다. 그렇지 않을 경우 AWS KMS는 기본 키 값이 아닌 KMS 키에 대한 표준 기본값을 적용합니다.

참고

Tags, Description 또는 KeyPolicy 파라미터에 대한 값을 지정하지 않으면 ,AWS KMS는 태그 없이 빈 문자열 설명 및 기본 키 정책을 사용하여 복제본 키를 생성합니다.

예를 들어 다음 명령은 아시아 태평양(시드니) 리전(ap-southeast-2)에 다중 리전 복제본 키를 만듭니다. 이 복제본 키는 KeyId 파라미터 값으로 식별되는 미국 동부(버지니아 북부) 리전(us-east-1)의 기본 키를 기반으로 모델링됩니다. 이 예에서는 키 정책을 포함하여 다른 모든 속성을 위해 기본값을 허용합니다.

응답은 새 복제 키를 설명합니다. 여기에는 공유 속성에 대한 필드(예: KeyId, KeySpec, KeyUsage 및 키 구성 요소 출처(Origin))가 포함되어 있습니다. 여기에는 Description, 키 정책(ReplicaKeyPolicy) 및 태그(ReplicaTags)와 같이 기본 키와 무관한 속성도 포함됩니다.

응답에는 ap-southeast-2 리전에서 방금 생성된 키를 포함하여 기본 키의 키 ARN 및 리전 및 모든 복제본 키가 포함됩니다. 이 예에서 ReplicaKey 요소는 이 기본 키가 이미 유럽(아일랜드) 리전(eu-west-1)에 복제되었음을 보여줍니다.

$ aws kms replicate-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --replica-region ap-southeast-2 { "ReplicaKeyMetadata": { "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "REPLICA", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" } ] }, "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1607472987.918, "Description": "", "Enabled": true, "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] }, "ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",..., "ReplicaTags": [] }