회전 고객 마스터 키 - AWS Key Management Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

회전 고객 마스터 키

암호화 모범 사례에 따르면 암호화 키를 광범위하게 사용하지 않는 것이 좋습니다. 새로운 암호화 자료를 만들려면 AWS Key Management Service (AWS KMS) ) 고객 마스터 키 (CMKs), CMKs, 그리고 애플리케이션 또는 별칭을 변경하여 CMKs. 또는 기존의 고객 관리 CMK.

사용 시 자동 키 회전 고객 관리 CMK, AWS KMS 새로운 암호화 재료 생성 CMK 매년. AWS KMS 또한 CMK의 이전 암호화 자료를 영구 암호화하여 암호화된 데이터를 암호화하는 데 사용할 수 있습니다. AWS KMS 회전된 키 자료를 삭제하지 않음 삭제 CMK.

키 회전은 CMK의 후면 키암호화 작업에 사용되는 암호화 자료입니다. The CMK 은(는) 배킹 키 변경 여부와 상관없이 동일한 논리 리소스입니다. 의 CMK 은(는) 다음 이미지에서 볼 수 있습니다.

자동 키 교체에는 다음과 같은 이점이 있습니다.

  • 의 CMK키 ID, 주요 ARN, 지역, 정책 및 권한을 포함하여 키를 회전할 때 변경하지 마십시오.

  • 다음을 참조하는 응용 프로그램 또는 별칭을 변경할 필요가 없습니다. CMK ID 또는 ARN.

  • 키 회전을 설정한 후 AWS KMS 회전 CMK 매년 자동으로. 업데이트를 기억하거나 예약할 필요가 없습니다.

그러나 자동 키 회전은 CMK 보호. 데이터는 CMK 생성 또는 재암호화된 데이터를 CMK을(를) 통해 침해된 데이터 키의 영향을 완화할 수 없습니다.

새로운 CMK 원래 대신 CMK. 이는 기존 자재의 주요 재료를 회전하는 것과 동일한 효과를 CMK이 때문에 수동으로 키 회전. 수동 교체는 키 교체 일정을 제어하려는 경우에 좋은 선택입니다. 또한 CMKs 자동 키 회전 자격이 없는 경우 메트릭 CMKs, CMKs 에서 맞춤형 키 스토어, 그리고 CMKs with 가져온 키 재료.

키 교체 및 요금

고객 관리 CMKs 추가 월 요금이 발생할 수 있습니다. 자세한 내용은 AWS Key Management Service 요금을 참조하십시오. 배킹 키와 회전에 대한 자세한 내용은 AWS Key Management Service 암호화 세부 정보 백서.

자동 키 교체의 작동 방식

의 키 회전 AWS KMS 은(는) 투명하고 사용하기 쉬운 암호화 모범 사례입니다. AWS KMS 옵션 자동 키 회전만 지원 고객 관리 CMKs.

  • 키 관리 백업 AWS KMS 모든 백킹 키를 CMK키 회전이 비활성화되어 있더라도 입니다. 배킹 키는 CMK 삭제되었습니다. 귀하가 CMK 암호화하려면 AWS KMS 현재 배킹 키를 사용합니다. 귀하가 CMK 해독하려면 AWS KMS 는 를 암호화하는 데 사용된 배킹 키를 사용합니다.

  • 키 교체 활성화 및 비활성화. 자동 키 회전은 고객 관리에서 기본적으로 비활성화됨 CMKs. 키 회전을 활성화(또는 재활성화)하는 경우, AWS KMS 자동으로 CMK 활성화 날짜 후 365일 및 그 이후 365일마다.

  • 사용 안 함 CMKs. a CMK 비활성화됨 AWS KMS 을(를) 넣지 않습니다. 그러나 키 회전 상태가 변경되지 않으며 CMK 은(는) 비활성화되었습니다. 언제 CMK 후면 키가 365일 이상이면 다시 활성화됩니다. AWS KMS 은(는) 그 후 365일마다 즉시 회전합니다. 백업 키가 365일 미만인 경우 AWS KMS는 원래의 키 교체 일정을 다시 시작합니다.

  • CMKs 삭제 대기 중. a CMK 삭제 대기 중, AWS KMS 을(를) 넣지 않습니다. 키 교체 상태는 false로 설정되며 삭제가 보류 중인 동안에는 해당 상태를 변경할 수 없습니다. 삭제가 취소되면 이전의 키 교체 상태가 복원됩니다. 백업 키가 365일을 초과한 경우 AWS KMS는 CMK를 즉시 교체하고 이후 365일마다 교체합니다. 백업 키가 365일 미만인 경우 AWS KMS는 원래의 키 교체 일정을 다시 시작합니다.

  • AWS 관리 CMKs. 다음에 대한 키 회전을 관리할 수 없습니다. AWS 관리 CMKs. AWS KMS 자동으로 회전 AWS 관리 CMKs 3년마다(1095일).

  • AWS 소유 CMKs. 다음에 대한 키 회전을 관리할 수 없습니다. AWS 소유 CMKs. AWS에서 소유한 CMK에 대한 키 교체 전략은 CMK를 생성하고 관리하는 AWS 서비스에 의해 결정됩니다. 자세한 내용은 저장 시 암호화 서비스를 위한 사용자 안내서 또는 개발자 가이드의 주제.

  • AWS 서비스. 에서 자동 키 회전을 활성화할 수 있습니다. 고객 관리 CMKs 서버 측 암호화를 위해 AWS 서비스. 연간 교체는 투명하며 AWS 서비스와 호환됩니다.

  • 키 교체 모니터링. 언제 AWS KMS 자동으로 AWS 관리 CMK 또는 고객 관리 CMK쓰기 KMS CMK Rotation 이벤트 Amazon CloudWatch Events 그리고 rotatekey 이벤트 to your AWS CloudTrail 로그. 이러한 기록을 사용하여 CMK 회전했습니다.

  • 지원되지 않음 CMK 유형. 자동 키 회전은 아님 다음 유형의 지원 CMKs하지만 이 CMKs 수동으로.

자동 키 교체를 활성화하고 비활성화하는 방법

귀하는 AWS KMS 콘솔 또는 AWS KMS API를 사용하여 자동 키 회전을 활성화 및 비활성화하고 고객 관리 상태를 확인합니다. CMK.

자동 키 회전을 활성화하는 경우 AWS KMS 회전 CMK 활성화 날짜 후 365일 및 그 이후 365일마다.

키 교체 활성화 및 비활성화(console)

  1. AWS Management 콘솔에 로그인한 후 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다. (의 회전을 활성화 또는 비활성화할 수 없습니다. AWS 관리합니다. 3년마다 자동으로 회전됩니다.)

  4. 의 별칭 또는 키 ID 선택 CMK.

  5. Key rotation(키 회전) 탭을 선택합니다.

    The 키 회전 탭은 대칭의 세부 정보 페이지에만 표시됩니다. CMKs 핵심 소재를 사용하여 AWS KMS 생성된 원산지 is AWS_KMS) ). ping 메트릭을 자동으로 입력할 수 없습니다. CMKs, CMKs with 가져온 키 재료, 또는 CMKs 에서 맞춤형 키 스토어. 그러나 이들을 수동으로 회전할수 있습니다.

  6. 선택 또는 선택 자동으로 CMK 매년 확인란을 선택합니다.

    참고

    a CMK 비활성화 또는 보류 중인 삭제, 자동으로 CMK 매년 확인란을 선택 취소하면 변경할 수 없습니다. 키 회전 상태는 CMK 또는 삭제를 취소합니다. 자세한 내용은 자동 키 교체의 작동 방식주요 상태: 귀하의 CMK 단원을 참조하십시오.

  7. Save를 선택합니다.

키 교체 활성화 및 비활성화(AWS KMS API)

귀하는 AWS Key Management Service (AWS KMS) API 자동 키 회전을 활성화 및 비활성화하고, 고객이 관리하는 모든 고객의 현재 회전 상태를 CMK. 이 예제들은 AWS Command Line Interface(AWS CLI)를 사용하지만, 사용자는 어떤 지원되는 프로그래밍 언어라도 사용할 수 있습니다.

The 활성화 작동하면 지정된 작업에 대한 자동 키 회전을 CMK. DisableKeyRotation 작업은 이를 비활성화합니다. 이를 위해 CMK 이 작업을 통해 키 ID 또는 키 ARN. 기본적으로 고객 관리를 위해 키 회전이 비활성화됨 CMKs.

다음 예는 지정된 대칭에서 키 회전을 활성화합니다. CMK 그리고 getkeyrotation상태 결과를 볼 수 있습니다. 그런 다음 키 회전을 해제하고 GetKeyRotationStatus 변경 사항을 보려면.

$ aws kms enable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyRotationEnabled": true } $ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab $ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyRotationEnabled": false }

수동으로 키 교체

새로운 CMK 현재 대신 CMK 자동 키 회전을 설정하는 대신. 새로운 CMK 현재 다른 암호화 재질이 CMK, 새로운 CMK 기존 환경에서 배킹 키를 변경하는 것과 동일한 효과를 CMK. 하나의 교체 프로세스 CMK 다른 하나는 수동 키 회전.

교체 빈도를 제어할 수 있도록 수동으로 키를 교체하려고 할 수 있습니다. 또한 CMKs ping 메트릭 등 자동 키 회전에 적합하지 않습니다. CMKs, CMKs 에서 맞춤형 키 스토어 and CMKs with 가져온 키 재료.

참고

새로운 사용을 시작할 때 CMK원래 CMK 사용하도록 설정합니다 AWS KMS 원래 데이터가 CMK 암호화된. 데이터를 해독할 때 KMS는 CMK 데이터를 암호화하는 데 사용했고, CMK 데이터를 복호화합니다. 원본과 새로운 CMKs 활성화됨 AWS KMS 이(가) 암호화를 통해 암호화된 데이터를 해독할 수 있습니다. CMK.

새로운 CMK 은(는) 현재의 다른 리소스입니다. CMK에 다른 키 ID와 ARN이 있습니다. 변경할 때 CMKs에 대한 참조를 업데이트해야 합니다. CMK 응용 프로그램의 ID 또는 ARN. 별칭은 친근한 이름을 CMK, 이 프로세스를 보다 쉽게 만듭니다. 별칭을 사용하여 CMK 을(를) 사용합니다. 그런 다음 CMK 애플리케이션을 사용하고 타겟을 CMK 별칭입니다.

목표를 업데이트하려면 CMK 별칭 업데이트 별칭 작업 AWS KMS API 예를 들어, 이 명령은 TestCMK 별칭으로 새로운 CMK. 작업이 어떤 출력도 반환하지 않기 때문에 리스알리스 별칭이 다른 것과 연관되어 있다는 것을 CMK.

$ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK", "AliasName": "alias/TestCMK", "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab" }, ] } $ aws kms update-alias --alias-name alias/TestCMK --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321 $ aws kms list-aliases { "Aliases": [ { "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestCMK", "AliasName": "alias/TestCMK", "TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321" }, ] }