다중 리전 키 세트에서 프라이머리 키 변경 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 리전 키 세트에서 프라이머리 키 변경

관련된 다중 리전 키에는 기본 키가 있어야 합니다. 그러나 기본 키를 변경할 수 있습니다. 이 작업(기본 리전 업데이트)은 현재 기본 키를 복제본 키로 변환하고 관련 복제본 키 중 하나를 기본 키로 변환합니다. 복제본 키를 유지 관리하는 동안 현재 기본 키를 삭제하거나 키 관리자와 동일한 리전에서 기본 키를 찾아야 하는 경우 이 작업을 수행할 수 있습니다.

관련 복제 키를 새 기본 키로 선택할 수 있습니다. 작업이 시작될 때 기본 키와 복제본 키 모두 Enabled 키 상태에 있어야 합니다.

Updating 키 상태

UpdatePrimaryRegion 작업이 완료된 후에도 기본 리전을 업데이트하는 프로세스가 몇 초 더 진행 중일 수 있습니다. 이 시간 동안 이전 기본 키와 새 기본 키의 임시 키 상태는 업데이트 중입니다. 키 상태가 Updating인 동안에는 암호화 작업에서 키를 사용할 수 있지만 새 기본 키를 복제하거나 이러한 키 활성화 또는 비활성화와 같은 특정 관리 작업을 수행할 수 없습니다. DescribeKey와 같은 작업은 이전 기본 키와 새 기본 키를 모두 복제본으로 표시할 수 있습니다. Enabled 키 상태는 업데이트가 완료되면 복원됩니다.

Updating 키 상태의 효과에 대한 정보는 AWS KMS 키의 키 상태 단원을 참조하십시오.

작동 방식

기본 키가 미국 동부(버지니아 북부)(us-east-1) 있고 복제 키가 유럽(아일랜드)(eu-west-1)에 있다고 가정합니다. 업데이트 기능을 사용하여 미국 동부(버지니아 북부)(us-east-1)의 기본 키를 복제 키로 변경하고 유럽(아일랜드)(eu-west-1)의 복제 키를 기본 키로 변경할 수 있습니다.

기본 키 업데이트

업데이트 프로세스가 완료되면 유럽 (아일랜드)(eu-west-1) 리전의 다중 리전 키가 다중 리전 기본 키이고 미국 동부(버지니아 북부)(us-east-1) 리전의 키는 복제 키입니다. 다른 관련 복제 키가 있는 경우 새 기본 키의 복제본이 됩니다. 다음에 AWS KMS가 다중 리전 키의 공유 속성을 동기화할 때 새 기본 키에서 공유 속성을 가져와 이전 기본 키를 포함하여 복제 키에 복사합니다.

업데이트 작업은 다중 리전 키의 키 ARN에 영향을 주지 않습니다. 또한 키 구성 요소와 같은 공유 특성이나 키 정책과 같은 독립 특성에는 영향을 주지 않습니다. 그러나 새 기본 키의 키 정책을 업데이트하고자 할 수 있습니다. 예를 들어 신뢰할 수 있는 보안 주체에 대한 kms:ReplicateKey 새 기본 키에 추가하고 새 복제본 키에서 제거할 수 있습니다.

기본 리전 업데이트

복제본 키를 프라이머리 키로 변환하여 이전 프라이머리 키를 복제본으로 변경할 수 있습니다. 기본 리전을 업데이트하려면 두 리전 모두에서 kms:UpdatePrimaryRegion 권한이 필요합니다.

AWS KMS 콘솔에서 또는 UpdatePrimaryRegion 작업을 사용하여 기본 리전을 업데이트할 수 있습니다.

AWS KMS 콘솔에서 기본 키를 업데이트할 수 있습니다. 현재 기본 키에 대한 키 세부 정보 페이지에서 시작합니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 다중 리전 기본 키의 키 ID 또는 별칭을 선택합니다. 그러면 기본 키에 대한 키 세부 정보 페이지가 열립니다.

    다중 리전 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여 테이블에 리전 구분(Regionality) 열을 추가합니다.

  5. 리전 구분(Regionality) 탭을 선택합니다.

  6. 기본 키 섹션에서 기본 리전 변경(Change primary Region)을 선택합니다.

  7. 새 기본 키의 리전을 선택합니다. 메뉴에서 리전을 하나만 선택할 수 있습니다.

    기본 리전 변경 메뉴에는 관련 다중 리전 키가 있는 리전만 포함됩니다. 메뉴의 모든 리전에서기본 리전을 업데이트할 권한이 없을 수 있습니다.

  8. 기본 리전 변경을 선택합니다.

관련 다중 지역 키 집합에서 기본 키를 변경하려면 UpdatePrimaryRegion 작업을 수행합니다.

KeyId 파라미터를 사용하여 현재 기본 키를 식별합니다. PrimaryRegion 파라미터를 사용하여 새 기본 키의 AWS 리전을 표시하십시오. 기본 키에 새 기본 리전에 복제본이 없는 경우 작업이 실패합니다.

다음 예에서는 기본 키를 us-west-2 리전의 다중 리전 키에서 eu-west-1 리전의 복제본으로 변경합니다. KeyId 파라미터는 us-west-2 리전의 현재 기본 키를 식별합니다. PrimaryRegion 파라미터는 새 기본 키 eu-west-1의 AWS 리전를 지정합니다.

$ aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1

성공하면 이 작업은 출력을 반환하지 않고, HTTP 상태 코드만 반환합니다. 효과를 확인하려면 다중 리전 키 중 하나에서 DescribeKey 작업을 호출하십시오. 키 상태가 Enabled로 반환될 때까지 기다릴 수 있습니다. 키 상태가 업데이트 중인 경우 키 값은 여전히 유동적일 수 있습니다.

예를 들어 다음 DescribeKey 호출은 eu-west-1 리전의 다중 리전 키에 대한 세부 정보를 가져옵니다. 출력은 eu-west-1 리전의 다중 리전 키가 이제 기본 키임을 보여줍니다. us-west-2 리전의 관련 다중 리전 키(동일한 키 ID)는 이제 복제본 키입니다.

$ aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }