자동 키 교체를 활성화하려면 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자동 키 교체를 활성화하려면

기본적으로 KMS 키의 자동 키 교체를 활성화하면 AWS KMS에서 매년 KMS 키에 대한 새 암호화 구성 요소를 생성합니다. 또한 사용자 지정 rotation-period을 지정하여 AWS KMS에서 자동 키 회전을 활성화한 후 키 구성 요소를 교체하는 일수와 그 이후의 각 자동 교체 간의 일수를 정의할 수도 있습니다.

자동 키 교체에는 다음과 같은 이점이 있습니다.

  • 키를 교체할 때 키 ID, 키 ARN, 리전, 정책 및 권한을 포함한 KMS 키의 속성은 변경되지 않습니다.

  • KMS 키 ID 또는 키 ARN을 참조하는 애플리케이션이나 별칭을 변경할 필요가 없습니다.

  • 키 구성 요소를 교체해도 AWS 서비스에서의 KMS 키 사용에 영향을 미치지 않습니다.

  • 키 교체를 활성화하면 AWS KMS는 교체 기간에 정의된 다음 교체 날짜에 KMS 키를 자동으로 교체합니다. 업데이트를 기억하거나 예약할 필요가 없습니다.

AWS KMS 콘솔에서 또는 EnableKeyRotation 작업을 사용하여 자동 키 교체를 활성화할 수 있습니다. 자동 키 교체를 활성화하려면 kms:EnableKeyRotation 권한이 필요합니다. AWS KMS 권한에 대한 자세한 내용은 권한 참조 단원을 참조하세요.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다. (AWS 관리형 키의 교체를 활성화하거나 비활성화할 수 없습니다. 매년 자동으로 교체됩니다.)

  4. KMS 키의 별칭 또는 키 ID를 선택합니다.

  5. 키 교체(Key rotation) 탭을 선택합니다.

    키 교체(Key rotation) 탭은 다중 리전 대칭 암호화 KMS 키를 포함하여 AWS KMS가 생성한 키 구성 요소가 있는 대칭 암호화 KMS 키의 세부 정보 페이지에만 나타납니다(오리진(Origin)AWS_KMS).

    비대칭 KMS 키, HMAC KMS 키, 가져온 키 구성 요소가 있는 KMS 키 또는 사용자 지정 키 스토어의 KMS 키는 자동으로 교체할 수 없습니다. 그러나 이들을 수동으로 교체할 수 있습니다.

  6. 자동 키 교체 섹션에서 편집을 선택합니다.

  7. 키 교체에서 활성화를 선택합니다.

    참고

    KMS 키가 비활성화되거나 삭제 보류 중인 경우 AWS KMS는 키 구성 요소를 교체하지 않으며 자동 키 교체 상태 또는 교체 기간을 업데이트할 수 없습니다. KMS 키를 활성화하거나 삭제를 취소하여 자동 키 교체 구성을 업데이트합니다. 자세한 내용은 키 교체의 작동 방식AWS KMS 키의 키 상태 섹션을 참조하세요.

  8. (선택 사항) 90~2,560일의 교체 기간을 입력합니다. 기본값은 365일입니다. 사용자 지정 교체 기간을 지정하지 않으면 AWS KMS는 매년 키 구성 요소를 교체하게 됩니다.

    kms:RotationPeriodInDays 조건 키를 사용하여 위탁자가 교체 기간에 지정할 수 있는 값을 제한할 수 있습니다.

  9. Save(저장)를 선택합니다.

AWS Key Management Service(AWS KMS) API를 사용하여 자동 키 교체를 활성화 및 비활성화하고 고객 관리형 키의 현재 교체 상태를 볼 수 있습니다. 이 예제들은 AWS Command Line Interface(AWS CLI)를 사용하지만, 사용자는 어떤 지원되는 프로그래밍 언어라도 사용할 수 있습니다.

EnableKeyRotation 작업은 지정된 KMS 키에 대한 자동 키 교체를 활성화합니다. 이 작업에서 KMS 키를 식별하려면 해당 키 ID 또는 키 ARN을 사용합니다. 기본적으로 고객 관리형 KMS 키에 대한 키 교체는 비활성화됩니다.

kms:RotationPeriodInDays 조건 키를 사용하여 위탁자가 EnableKeyRotation 요청의 RotationPeriodInDays 파라미터에 지정할 수 있는 값을 제한할 수 있습니다.

다음 예제에서는 지정된 대칭 암호화 KMS 키에 대해 교체 기간이 180일인 키 교체를 활성하고 GetKeyRotationStatus 작업을 사용하여 결과를 확인합니다.

$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}