교체고객 마스터 키 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교체고객 마스터 키

암호화 모범 사례에 따르면 암호화 키를 광범위하게 사용하지 않는 것이 좋습니다. (AWS Key Management Service) AWS KMS(고객 마스터 키)에 대한 새 암호화 구성 요소를 생성하려면 새 CMKs를 생성한 다음 애플리케이션 또는 별칭을 변경하여 새 CMKs를 사용할 수 있습니다.CMKs 또는 기존 고객 관리형 CMK에 대해 자동 키 교체를 활성화할 수 있습니다.

고객 관리형 에 대해 자동 키 교체CMK를 활성화하면 AWS KMS는 매년 CMK에 대한 새 암호화 구성 요소를 생성합니다. 또한 AWS KMS는 CMK의 이전 암호화 구성 요소를 영구 저장하므로 암호화된 데이터를 해독하는 데 사용할 수 있습니다. AWS KMS는 를 삭제CMK할 때까지 교체된 키 구성 요소를 삭제하지 않습니다.

키 교체는 암호화 작업에 사용되는 암호화 구성 요소인 CMK의 백업 키만 변경합니다. 는 백업 키가 변경되는지 여부 또는 백업 키가 변경되는 횟수에 관계없이 동일한 논리적 리소스입니다.CMK 다음 이미지와 같이 CMK의 속성은 변경되지 않습니다.

자동 키 교체에는 다음과 같은 이점이 있습니다.

  • 키 ID, 키 ARN, 리전, 정책 및 권한을 포함하여 CMK의 속성은 키가 교체될 때 변경되지 않습니다.

  • ID 또는 ARN을 참조하는 애플리케이션이나 별칭을 변경할 필요가 없습니다.CMK

  • 키 교체를 활성화한 후 AWS KMS는 매년 자동으로 CMK를 교체합니다. 업데이트를 기억하거나 예약할 필요가 없습니다.

그러나 자동 키 교체는 CMK가 보호하는 데이터에 영향을 미치지 않습니다. 에서 생성한 데이터 키를 교체하거나 CMK에서 보호되는 데이터를 다시 암호화하지 않으며, 손상된 데이터 키의 영향을 완화하지 않습니다.CMK

새 CMK를 생성하여 원래 CMK 대신 사용하기로 결정할 수 있습니다. 이는 기존 CMK에서 키 구성 요소를 교체하는 것과 같은 효과를 나타내므로, 종종 키를 수동으로 교체하는 것으로 간주됩니다. 수동 교체는 키 교체 일정을 제어하려는 경우에 좋은 선택입니다. 또한 CMKs비대칭 CMKs, 사용자 지정 키 스토어CMKs의 , 가져온 키 구성 요소CMKs가 있는 를 포함하여 자동 키 교체를 사용할 수 없는 를 교체하는 방법을 제공합니다.

키 교체 및 요금

고객 관리형 CMKs를 교체하면 추가 월별 요금이 발생할 수 있습니다. 자세한 내용은 AWS Key Management Service 요금을 참조하십시오. 백업 키 및 교체에 대한 자세한 내용은 AWS Key Management Service 암호화 세부 정보 백서 단원을 참조하십시오.

자동 키 교체의 작동 방식

의 키 교체는 투명하고 사용하기 쉽게 설계된 암호화 모범 사례입니다. AWS KMS는 AWS KMS고객 관리형 CMKs에 대해서만 자동 키 교체(선택 사항)를 지원합니다.

  • 백업 키 관리. 키 교체가 비활성화된 경우에도 AWS KMS는 CMK에 대한 모든 백업 키를 유지합니다. 백업 키는 CMK가 삭제된 경우에만 삭제됩니다. 를 사용하여 암호화하면 CMK는 현재 백업 키를 사용합니다.AWS KMS 를 사용하여 암호화 해제하면 CMK는 암호화하는 데 사용된 백업 키를 사용합니다.AWS KMS

  • 키 교체 활성화 및 비활성화. 고객 관리형 CMKs에서는 자동 키 교체가 기본적으로 비활성화됩니다. 키 교체를 활성화(또는 다시 활성화)하면 AWS KMS는 활성화 날짜에서 365일 후에 CMK를 자동으로 교체하고 이후 365일마다 교체합니다.

  • 를 비활성화했습니다.CMKs 가 비활성화되어 있으면 CMK가 이를 교체하지 않습니다.AWS KMS 그러나 키 교체 상태는 변경되지 않으며 CMK가 비활성화된 동안에는 해당 상태를 변경할 수 없습니다. 가 다시 활성화되면 백업 키가 365일을 초과한 경우 CMK는 해당 키를 즉시 교체하고 이후 365일마다 교체합니다.AWS KMS 백업 키가 365일 미만인 경우 AWS KMS는 원래의 키 교체 일정을 다시 시작합니다.

  • CMKs 보류 중인 삭제. 가 삭제 보류 중인 동안에는 CMK가 이를 교체하지 않습니다.AWS KMS 키 교체 상태는 false로 설정되며 삭제가 보류 중인 동안에는 해당 상태를 변경할 수 없습니다. 삭제가 취소되면 이전의 키 교체 상태가 복원됩니다. 백업 키가 365일을 초과한 경우 AWS KMS는 CMK를 즉시 교체하고 이후 365일마다 교체합니다. 백업 키가 365일 미만인 경우 AWS KMS는 원래의 키 교체 일정을 다시 시작합니다.

  • AWS 관리형 CMKs. 관리형 AWS에 대한 키 교체는 사용자가 관리할 수 없습니다. CMKs는 관리형 AWS KMS를 3년(1095일)마다 자동으로 교체합니다. AWSCMKs

  • AWS 소유 CMKs. 소유 AWS에 대한 키 교체는 사용자가 관리할 수 없습니다. CMKsAWS에서 소유한 CMK에 대한 키 교체 전략은 CMK를 생성하고 관리하는 AWS 서비스에 의해 결정됩니다. 자세한 내용은 해당 서비스에 대한 사용 설명서 또는 개발자 안내서의 저장 데이터 암호화 주제를 참조하십시오.

  • AWS 서비스. 서비스에서 서버 측 암호화에 사용하는 고객 관리형 CMKs에 대해 자동 키 교체를 활성화할 수 있습니다.AWS 연간 교체는 투명하며 AWS 서비스와 호환됩니다.

  • 키 교체 모니터링. 는 AWS KMS 관리형 AWSCMK 또는 고객 관리형 CMK에 대한 키 구성 요소를 자동으로 교체할 때 이벤트를 KMS CMK Rotation에 작성하고 Amazon CloudWatch Events 이벤트를 로그에 기록합니다.RotateKeyAWS CloudTrail 이러한 레코드를 사용하여 CMK가 교체되었는지 확인할 수 있습니다.

  • 지원되지 않는 CMK 유형입니다. 다음 유형의 에서는 자동 키 교체가 지원되지 않지만CMKs이러한 를 수동으로 교체CMKs할 수 있습니다.

자동 키 교체를 활성화하고 비활성화하는 방법

콘솔 또는 AWS KMS API를 사용하여 자동 키 교체를 활성화 및 비활성화하고 고객 관리형 AWS KMS의 교체 상태를 볼 수 있습니다.CMK

자동 키 교체를 활성화하면 AWS KMS는 활성화 날짜에서 365일 후에 CMK를 교체하고 이후 365일마다 교체합니다.

키 교체 활성화 및 비활성화(console)

  1. AWS Management 콘솔에 로그인한 후 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.(AWS 관리형 키의 교체를 활성화하거나 비활성화할 수 없습니다. 3년마다 자동으로 교체됩니다.)

  4. 의 별칭 또는 키 ID를 선택합니다.CMK

  5. Key rotation(키 회전) 탭을 선택합니다.

    Key rotation(키 교체) 탭은 가 생성한 키 구성 요소와 함께 대칭 CMKs의 세부 정보 페이지에만 나타납니다(AWS KMSOrigin(오리진)AWS_KMS임). 비대칭 CMKs, CMKs를 가져온 키 구성 요소 또는 CMKs사용자 지정 키 스토어로 자동으로 교체할 수 없습니다. 그러나 이들을 수동으로 회전할수 있습니다.

  6. Automatically rotate this every year(매년 이 CMK를 자동 교체) 확인란을 선택하거나 선택 취소합니다.

    참고

    가 비활성화되거나 삭제 보류 중인 경우 CMKAutomatically rotate this every year(매년 이 CMK를 자동으로 교체) 확인란의 선택이 취소되고 이 확인란을 변경할 수 없습니다. 를 활성화하거나 삭제를 취소하면 키 교체 상태가 복원됩니다.CMK 자세한 내용은 자동 키 교체의 작동 방식키 상태: 에 미치는 영향CMK 단원을 참조하십시오.

  7. Save를 선택합니다.

키 교체 활성화 및 비활성화(AWS KMS API)

() APIAWS Key Management Service를 사용하여 자동 키 교체를 활성화 및 비활성화하고 고객 관리형 AWS KMS의 현재 교체 상태를 볼 수 있습니다.CMK 이 예제들은 AWS Command Line Interface(AWS CLI)를 사용하지만, 사용자는 어떤 지원되는 프로그래밍 언어라도 사용할 수 있습니다.

EnableKeyRotation 작업은 지정된 에 대한 자동 키 교체를 활성화합니다.CMK DisableKeyRotation 작업은 이를 비활성화합니다. 이러한 작업에서 CMK를 식별하려면 키 ID 또는 키 ARN을 사용합니다. 기본적으로 고객 관리형 CMKs에 대한 키 교체는 비활성화됩니다.

다음 예제에서는 지정된 대칭 CMK에서 키 교체를 활성화하고 GetKeyRotationStatus 작업을 사용하여 결과를 확인합니다. 그런 다음 키 교체를 비활성화하고 를 다시 사용합니다.GetKeyRotationStatus 변경 사항을 확인합니다.

$ aws kms enable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyRotationEnabled": true } $ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyRotationEnabled": false }

수동으로 키 교체

새 CMK를 생성하여 자동 키 교체를 활성화하는 대신 현재 CMK 대신 사용할 수 있습니다. 새 CMK의 암호화 구성 요소가 현재 CMK와 다를 경우 새 CMK를 사용하면 기존 CMK에서 백업 키를 변경하는 것과 효과가 동일합니다. 한 CMK를 다른 로 교체하는 프로세스를 수동 키 교체라고 합니다.

교체 빈도를 제어할 수 있도록 수동으로 키를 교체하려고 할 수 있습니다. 또한 CMKs사용자 지정 키 스토어CMKs의 비대칭 CMKs, 가져온 키 구성 요소CMKs가 있는 등 자동 키 교체를 사용할 수 없는 에 대한 좋은 해결 방법입니다.

참고

새 CMK 사용을 시작할 때 CMK가 원래 AWS KMS가 암호화한 데이터를 해독할 수 있도록 원래 CMK를 활성화된 상태로 유지해야 합니다. 데이터를 해독할 때 KMS는 데이터를 암호화하는 데 사용된 CMK를 식별하고 동일한 CMK를 사용하여 데이터를 해독합니다. 원본 및 새 CMKs를 모두 활성화 상태로 유지하는 한, AWS KMS는 두 CMK 중 하나로 암호화된 데이터를 해독할 수 있습니다.

새 CMK는 현재 CMK와 다른 리소스이므로 키 ID와 ARN이 다릅니다. 를 변경할 때 애플리케이션의 CMKs ID 또는 ARN에 대한 참조를 업데이트해야 합니다.CMK 표시 이름을 CMK와 연결하는 별칭을 사용하면 이 프로세스를 더 쉽게 수행할 수 있습니다. 별칭을 사용하여 애플리케이션에서 CMK를 참조합니다. 그런 다음 애플리케이션에서 사용하는 CMK를 변경하려는 경우 별칭의 대상 CMK를 변경합니다.

별칭의 대상 CMK를 업데이트하려면 API에서 UpdateAlias 작업을 사용합니다.AWS KMS 예를 들어 이 명령은 새 TestCMK를 가리키도록 CMK 별칭을 업데이트합니다. 이 작업은 출력을 반환하지 않기 때문에 이 예제에서는 ListAliases 작업을 사용하여 별칭이 다른 CMK와 연결되어 있고 LastUpdatedDate 필드가 업데이트되었음을 보여 줍니다.

$ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK", "AliasName": "alias/TestCMK", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1521097200.123, "LastUpdatedDate": 1521097200.123 }, ] } $ aws kms update-alias --alias-name alias/TestCMK --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 $ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK", "AliasName": "alias/TestCMK", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321", "CreationDate": 1521097200.123, "LastUpdatedDate": 1604958290.722 }, ] }