기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다중 리전 키 세트에서 프라이머리 키 변경
관련된 다중 리전 키에는 기본 키가 있어야 합니다. 그러나 기본 키를 변경할 수 있습니다. 이 작업(기본 리전 업데이트)은 현재 기본 키를 복제본 키로 변환하고 관련 복제본 키 중 하나를 기본 키로 변환합니다. 복제본 키를 유지 관리하는 동안 현재 기본 키를 삭제하거나 키 관리자와 동일한 리전에서 기본 키를 찾아야 하는 경우 이 작업을 수행할 수 있습니다.
관련 복제 키를 새 기본 키로 선택할 수 있습니다. 작업이 시작될 때 기본 키와 복제본 키 모두 Enabled
키 상태에 있어야 합니다.
Updating
키 상태-
UpdatePrimaryRegion
작업이 완료된 후에도 기본 리전을 업데이트하는 프로세스가 몇 초 더 진행 중일 수 있습니다. 이 시간 동안 이전 기본 키와 새 기본 키의 임시 키 상태는 업데이트 중입니다. 키 상태가Updating
인 동안에는 암호화 작업에서 키를 사용할 수 있지만 새 기본 키를 복제하거나 이러한 키 활성화 또는 비활성화와 같은 특정 관리 작업을 수행할 수 없습니다. DescribeKey와 같은 작업은 이전 기본 키와 새 기본 키를 모두 복제본으로 표시할 수 있습니다.Enabled
키 상태는 업데이트가 완료되면 복원됩니다.Updating
키 상태의 효과에 대한 정보는 AWS KMS 키의 키 상태 단원을 참조하십시오. - 작동 방식
-
기본 키가 미국 동부(버지니아 북부)(us-east-1) 있고 복제 키가 유럽(아일랜드)(eu-west-1)에 있다고 가정합니다. 업데이트 기능을 사용하여 미국 동부(버지니아 북부)(us-east-1)의 기본 키를 복제 키로 변경하고 유럽(아일랜드)(eu-west-1)의 복제 키를 기본 키로 변경할 수 있습니다.
업데이트 프로세스가 완료되면 유럽 (아일랜드)(eu-west-1) 리전의 다중 리전 키가 다중 리전 기본 키이고 미국 동부(버지니아 북부)(us-east-1) 리전의 키는 복제 키입니다. 다른 관련 복제 키가 있는 경우 새 기본 키의 복제본이 됩니다. 다음에 AWS KMS가 다중 리전 키의 공유 속성을 동기화할 때 새 기본 키에서 공유 속성을 가져와 이전 기본 키를 포함하여 복제 키에 복사합니다.
업데이트 작업은 다중 리전 키의 키 ARN에 영향을 주지 않습니다. 또한 키 구성 요소와 같은 공유 특성이나 키 정책과 같은 독립 특성에는 영향을 주지 않습니다. 그러나 새 기본 키의 키 정책을 업데이트하고자 할 수 있습니다. 예를 들어 신뢰할 수 있는 보안 주체에 대한 kms:ReplicateKey 새 기본 키에 추가하고 새 복제본 키에서 제거할 수 있습니다.
기본 리전 업데이트
복제본 키를 프라이머리 키로 변환하여 이전 프라이머리 키를 복제본으로 변경할 수 있습니다. 기본 리전을 업데이트하려면 두 리전 모두에서 kms:UpdatePrimaryRegion 권한이 필요합니다.
AWS KMS 콘솔에서 또는 UpdatePrimaryRegion 작업을 사용하여 기본 리전을 업데이트할 수 있습니다.
AWS KMS 콘솔에서 기본 키를 업데이트할 수 있습니다. 현재 기본 키에 대한 키 세부 정보 페이지에서 시작합니다.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
-
탐색 창에서 고객 관리형 키를 선택합니다.
-
다중 리전 기본 키의 키 ID 또는 별칭을 선택합니다. 그러면 기본 키에 대한 키 세부 정보 페이지가 열립니다.
다중 리전 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여 테이블에 리전 구분(Regionality) 열을 추가합니다.
-
리전 구분(Regionality) 탭을 선택합니다.
-
기본 키 섹션에서 기본 리전 변경(Change primary Region)을 선택합니다.
-
새 기본 키의 리전을 선택합니다. 메뉴에서 리전을 하나만 선택할 수 있습니다.
기본 리전 변경 메뉴에는 관련 다중 리전 키가 있는 리전만 포함됩니다. 메뉴의 모든 리전에서기본 리전을 업데이트할 권한이 없을 수 있습니다.
-
기본 리전 변경을 선택합니다.
관련 다중 지역 키 집합에서 기본 키를 변경하려면 UpdatePrimaryRegion 작업을 수행합니다.
KeyId
파라미터를 사용하여 현재 기본 키를 식별합니다. PrimaryRegion
파라미터를 사용하여 새 기본 키의 AWS 리전을 표시하십시오. 기본 키에 새 기본 리전에 복제본이 없는 경우 작업이 실패합니다.
다음 예에서는 기본 키를 us-west-2
리전의 다중 리전 키에서 eu-west-1
리전의 복제본으로 변경합니다. KeyId
파라미터는 us-west-2
리전의 현재 기본 키를 식별합니다. PrimaryRegion
파라미터는 새 기본 키 eu-west-1
의 AWS 리전를 지정합니다.
$
aws kms update-primary-region \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \ --primary-region eu-west-1
성공하면 이 작업은 출력을 반환하지 않고, HTTP 상태 코드만 반환합니다. 효과를 확인하려면 다중 리전 키 중 하나에서 DescribeKey 작업을 호출하십시오. 키 상태가 Enabled
로 반환될 때까지 기다릴 수 있습니다. 키 상태가 업데이트 중인 경우 키 값은 여전히 유동적일 수 있습니다.
예를 들어 다음 DescribeKey
호출은 eu-west-1
리전의 다중 리전 키에 대한 세부 정보를 가져옵니다. 출력은 eu-west-1
리전의 다중 리전 키가 이제 기본 키임을 보여줍니다. us-west-2
리전의 관련 다중 리전 키(동일한 키 ID)는 이제 복제본 키입니다.
$
aws kms describe-key \ --key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \{ "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1609193147.831, "Enabled": true, "Description": "multi-region-key", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" } ] } } }