기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
외부 키 저장소 보기
AWS KMS 콘솔 또는 DescribeCustomKeyStores 작업을 사용하여 각 계정 및 리전의 외부 키 스토어를 볼 수 있습니다.
외부 키 스토어를 볼 때 다음이 표시됩니다.
-
키 스토어의 이름, ID, 키 스토어 유형 및 생성 날짜를 포함한 키 스토어에 대한 기본 정보.
-
연결 유형, 프록시 URI 엔드포인트 및 경로, 현재 프록시 인증 자격 증명의 액세스 키 ID를 비롯한 외부 키 스토어 프록시에 대한 구성 정보.
-
외부 키 스토어 프록시가 VPC 엔드포인트 서비스 연결을 사용하는 경우 콘솔에 VPC 엔드포인트 서비스의 이름이 표시됩니다.
-
현재 연결 상태.
참고
연결 상태 값이 Disconnected(연결 해제됨)면 외부 키 스토어가 연결된 적이 없거나 의도적으로 해당 외부 키 스토어 프록시에서 연결 해제된 것입니다. 하지만 연결된 외부 키 스토어에서 KMS 키를 사용하려는 시도가 실패하는 것은 외부 키 스토어 또는 프록시에 문제가 있음을 의미할 수 있습니다. 도움말은 외부 키 스토어 연결 오류를 참조하십시오.
외부 키 스토어의 문제를 감지하고 해결하는 데 도움이 되도록 설계된 Amazon CloudWatch 지표 그래프가 포함된 Monitoring(모니터링) 섹션. 그래프를 해석하고, 계획 및 문제 해결에 그래프를 사용하고, 그래프의 지표를 기반으로 CloudWatch 경보를 생성하는 방법에 대한 도움말은 외부 키 저장소 모니터링 섹션을 참조하세요.
외부 키 스토어 속성
외부 키 스토어의 다음 속성은 AWS KMS 콘솔과 DescribeCustomKeyStores 응답에 표시됩니다.
사용자 지정 키 스토어 속성
각 사용자 지정 키 스토어에 대한 세부 정보 페이지의 General configuration(일반 구성) 섹션에 다음 값이 나타납니다. 이러한 속성은 AWS CloudHSM 키 스토어와 외부 키 스토어를 포함한 모든 사용자 지정 키 스토어에 적용됩니다.
- 사용자 지정 키 스토어 ID
-
AWS KMS가 사용자 지정 키 스토어에 할당하는 고유 ID입니다.
- 사용자 지정 키 스토어 이름
-
사용자 지정 키 스토어를 생성할 때 할당하는 친숙한 이름입니다. 이 값은 언제든지 변경할 수 있습니다.
- 사용자 지정 키 스토어 유형
-
사용자 지정 키 스토어의 유형입니다. 유효한 값은 AWS CloudHSM(
AWS_CLOUDHSM) 또는 외부 키 스토어(EXTERNAL_KEY_STORE)입니다. 사용자 지정 키 스토어를 생성한 후에는 유형을 변경할 수 없습니다. - 생성 날짜
-
사용자 지정 키 스토어가 생성된 날짜입니다. 이 날짜는 AWS 리전의 로컬 시간으로 표시됩니다.
- 연결 상태
-
사용자 지정 키 스토어가 백업 키 스토어에 연결되어 있는지 여부를 나타냅니다. 연결 상태는 사용자 지정 키 스토어가 백업 키 스토어에 연결된 적이 없거나 의도적으로 연결 해제된 경우에만
DISCONNECTED입니다. 세부 정보는 연결 상태을 참조하세요.
외부 키 스토어 구성 속성
각 외부 키 스토어에 대한 세부 정보 페이지의 External key store proxy configuration(외부 키 스토어 프록시 구성) 섹션과 DescribeCustomKeyStores 응답의 XksProxyConfiguration 요소에 다음 값이 나타납니다. 고유성 요구 사항을 포함한 각 필드에 대한 자세한 설명과 각 필드의 올바른 값 결정에 대한 도움말은 외부 키 스토어 생성 주제의 사전 조건 수집 섹션을 참조하세요.
- 프록시 연결
외부 키 스토어가 퍼블릭 엔드포인트 연결을 사용하는지 아니면 VPC 엔드포인트 서비스 연결을 사용하는지를 나타냅니다.
- 프록시 URI 엔드포인트
-
AWS KMS가 외부 키 스토어 프록시에 연결하는 데 사용하는 엔드포인트입니다.
- 프록시 URI 경로
-
AWS KMS가 프록시 API 요청을 보내는 프록시 URI 엔드포인트의 경로입니다.
- 프록시 자격 증명: 액세스 키 ID
-
외부 키 스토어 프록시에서 설정하는 프록시 인증 자격 증명의 일부입니다. 액세스 키 ID는 자격 증명에서 비밀 액세스 키를 식별합니다.
AWS KMS는 SigV4 서명 프로세스와 프록시 인증 자격 증명을 사용하여 외부 키 스토어 프록시에 대한 요청에 서명합니다. 서명의 자격 증명을 통해 외부 키 스토어 프록시가 AWS KMS에서 사용자 대신 요청을 인증할 수 있습니다.
- VPC 엔드포인트 서비스 이름
-
외부 키 스토어를 지원하는 Amazon VPC 엔드포인트 서비스의 이름입니다. 이 값은 외부 키 스토어가 PC 엔드포인트 서비스 연결을 사용하는 경우에만 나타납니다. VPC에서 외부 키 스토어 프록시를 찾거나 VPC 엔드포인트 서비스를 사용하여 외부 키 스토어 프록시와 안전하게 통신할 수 있습니다.
외부 키 저장소 속성 보기
AWS KMS 콘솔에서 또는 DescribeCustomKeyStores 작업을 사용하여 외부 키 저장소 및 연결된 속성을 볼 수 있습니다.
해당 계정 및 리전에서 외부 키 스토어를 보려면 다음 절차를 사용하세요.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
탐색 창에서 Custom key stores(사용자 지정 키 스토어), External key stores(외부 키 스토어)를 선택합니다.
-
외부 키 스토어에 대한 자세한 정보를 보려면 키 스토어 이름을 선택합니다.
외부 키 스토어를 보려면 DescribeCustomKeyStores 작업을 사용합니다. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 출력을 제한할 수 있습니다.
사용자 지정 키 스토어의 경우 출력은 사용자 지정 키 스토어 ID, 이름 및 유형과 키 스토어의 연결 상태로 이루어집니다. 연결 상태가 FAILED인 경우 출력에는 오류 원인을 설명하는 ConnectionErrorCode도 포함됩니다. 외부 키 스토어에 대한 ConnectionErrorCode를 해석하는 방법에 대한 도움말은 외부 키 스토어의 연결 오류 코드 섹션을 참조하세요.
외부 키 스토어의 경우 출력에 XksProxyConfiguration 요소도 포함됩니다. 이 요소에는 연결 유형, 프록시 URI 엔드포인트, 프록시 URI 경로 및 프록시 인증 자격 증명의 액세스 키 ID가 포함됩니다.
이 섹션의 예제는 AWS Command Line Interface(AWS CLI)
예를 들어 다음 명령은 계정 및 리전에 모든 사용자 지정 키 스토어를 반환합니다. Limit 및 Marker 파라미터를 사용해 출력에서 사용자 지정 키 스토어를 탐색할 수 있습니다.
$aws kms describe-custom-key-stores
다음 명령은 CustomKeyStoreName 파라미터를 사용해 기억하기 쉬운 이름이 ExampleXksPublic인 예제 외부 키 스토어만 검색합니다. 이 예제 키 스토어는 퍼블릭 엔드포인트 연결을 사용하며 외부 키 스토어 프록시에 연결됩니다.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksPublic{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }
이 명령은 VPC 엔드포인트 서비스 연결이 있는 예제 외부 키 스토어를 가져옵니다. 이 예제에서는 외부 키 스토어가 해당 외부 키 스토어 프록시에 연결됩니다.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
ConnectionState가 Disconnected면 외부 키 스토어가 연결된 적이 없거나 의도적으로 해당 외부 키 스토어 프록시에서 연결 해제된 것입니다. 하지만 연결된 외부 키 스토어에서 KMS 키를 사용하려는 시도가 실패하는 것은 외부 키 스토어 프록시 또는 다른 외부 구성 요소에 문제가 있음을 의미할 수 있습니다.
외부 키 스토어의 ConnectionState가 FAILED면 DescribeCustomKeyStores 응답에 오류 원인을 설명하는 ConnectionErrorCode 요소가 포함됩니다.
예를 들어 다음 출력에서 XKS_PROXY_TIMED_OUT 값은 AWS KMS가 외부 키 스토어 프록시에 연결할 수 있지만 외부 키 스토어 프록시가 할당된 시간 내에 AWS KMS에 응답하지 않았기 때문에 연결에 실패했음을 나타냅니다. 이 연결 오류 코드가 반복적으로 표시되면 외부 키 스토어 프록시 공급업체에 알립니다. 이를 비롯해 기타 연결 오류 문제에 대한 도움말은 외부 키 스토어 문제 해결 단원을 참조하십시오.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
