기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
외부 키 스토어 연결 및 연결 해제
새로운 외부 키 스토어는 연결되지 않습니다. 외부 키 스토어에서 AWS KMS keys를 생성하고 사용하려면 외부 키 스토어를 외부 키 스토어 프록시에 연결해야 합니다. 외부 키 스토어를 언제든 연결 및 연결 해제하고 연결 상태를 확인할 수 있습니다.
외부 키 스토어가 연결 해제되어 있는 동안에는 AWS KMS가 외부 키 스토어 프록시와 통신할 수 없습니다. 따라서 외부 키 스토어와 기존 KMS 키를 보고 관리할 수 있습니다. 그러나 외부 키 스토어에서 KMS 키를 생성하거나 암호화 작업에 KMS 키를 사용할 수는 없습니다. 속성을 편집할 때와 같이 특정 시점에 외부 키 스토어를 연결 해제해야 할 수 있지만 그에 따라 계획해야 합니다. 키 스토어를 연결 해제하면 KMS 키를 사용하는 AWS 서비스의 작업이 중단될 수 있습니다.
외부 키 스토어를 연결할 필요는 없습니다. 외부 키 스토어를 연결 해제 상태로 무기한 남겨두고 사용 시에만 이를 연결할 수 있습니다. 하지만 설정이 올바른지, 연결이 가능한지 확인하기 위해 정기적으로 연결을 테스트하고 싶을 수 있습니다.
사용자 지정 키 스토어를 연결 해제하면 키 스토어의 KMS 키를 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 데이터 키로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 리소스를 보호하기 위해 데이터 키를 사용하는 AWS 서비스에 영향을 미칩니다. 자세한 내용은 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향 단원을 참조하세요.
참고
외부 키 스토어는 키 스토어가 연결되지 않았거나 연결을 직접 해제한 경우에만 DISCONNECTED 상태가 됩니다. CONNECTED 상태는 외부 키 스토어 또는 해당 지원 구성 요소가 효율적으로 작동하고 있음을 나타내지 않습니다. 외부 키 스토어 구성 요소의 성능에 대한 자세한 내용은 각 외부 키 스토어에 대한 세부 정보 페이지의 Monitoring(모니터링) 섹션에 있는 그래프를 참조하세요. 자세한 내용은 외부 키 스토어 모니터링 단원을 참조하세요.
외부 키 관리자는 AWS KMS 외부 키 스토어와 외부 키 스토어 프록시 간 또는 외부 키 스토어 프록시와 외부 키 관리자 간의 통신을 중지하고 다시 시작하는 추가 방법을 제공할 수 있습니다. 자세한 내용은 외부 키 관리자 설명서를 참조하세요.
주제
외부 키 스토어 연결
외부 키 스토어가 외부 키 스토어 프록시에 연결되면 외부 키 스토어에 KMS 키를 생성하고 암호화 작업에서 기존 KMS 키를 사용할 수 있습니다.
외부 키 스토어를 외부 키 스토어 프록시에 연결하는 프로세스는 외부 키 스토어의 연결에 따라 다릅니다.
-
외부 키 스토어를 퍼블릭 엔드포인트 연결로 연결하는 경우 외부 키 스토어 프록시에 GetHealthStatus 요청을 AWS KMS 보내 프록시 URI 엔드포인트, 프록시 URI 경로 및 프록시 인증 자격 증명을 검증합니다. 프록시의 성공적인 응답은 프록시 URI 엔드포인트와 프록시 URI 경로가 정확하고 액세스 가능하며 프록시가 외부 키 스토어에 대한 프록시 인증 자격 증명으로 서명된 요청을 인증했음을 확인합니다.
-
VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어 프록시에 외부 키 스토어를 연결하면 AWS KMS가 다음을 수행합니다.
-
프록시 URI 엔드포인트에 지정된 프라이빗 DNS 이름의 도메인이 검증되었는지 확인합니다.
-
AWS KMS VPC에서 VPC 엔드포인트 서비스로 인터페이스 엔드포인트를 생성합니다.
-
프록시 URI 엔드포인트에 지정된 프라이빗 DNS 이름에 대한 프라이빗 호스팅 영역을 생성합니다.
-
외부 키 저장소 프록시에 GetHealthStatus요청을 보냅니다. 프록시의 성공적인 응답은 프록시 URI 엔드포인트와 프록시 URI 경로가 정확하고 액세스 가능하며 프록시가 외부 키 스토어에 대한 프록시 인증 자격 증명으로 서명된 요청을 인증했음을 확인합니다.
-
연결 작업은 사용자 지정 키 스토어를 연결하는 프로세스를 시작하지만 외부 키 스토어를 외부 프록시에 연결하는 데 5분가량 걸립니다. 연결 작업의 성공 응답은 외부 키 스토어가 연결되었음을 나타내지 않습니다. 연결이 성공했는지 확인하려면 AWS KMS 콘솔 또는 DescribeCustomKeyStores작업을 사용하여 외부 키 스토어의 연결 상태를 확인하십시오.
연결 상태가 FAILED면 AWS KMS 콘솔에 연결 오류 코드가 표시되고 DescribeCustomKeyStore 응답에 추가됩니다. 연결 오류 코드를 해석하는 방법에 대한 도움말은 외부 키 스토어의 연결 오류 코드 섹션을 참조하세요.
외부 키 스토어 연결 해제
VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어를 외부 키 스토어 프록시에서 연결 해제하면 AWS KMS는 VPC 엔드포인트 서비스에 대한 인터페이스 엔드포인트를 삭제하고 연결을 지원하기 위해 생성한 네트워크 인프라를 제거합니다. 퍼블릭 엔드포인트 연결이 있는 외부 키 스토어에는 동등한 프로세스가 필요하지 않습니다. 이 작업은 VPC 엔드포인트 서비스 또는 지원 구성 요소에 영향을 주지 않으며 외부 키 스토어 프록시 또는 외부 구성 요소에도 영향을 주지 않습니다.
외부 키 스토어가 연결 해제된 동안 AWS KMS는 외부 키 스토어 프록시로 요청을 전송하지 않습니다. 외부 키 스토어의 연결 상태는 DISCONNECTED입니다. 연결 해제된 외부 키 스토어의 KMS 키는 UNAVAILABLE 키 상태(삭제 보류 중이 아닌 경우)이므로 암호화 작업에 사용할 수 없습니다. 그러나 외부 키 스토어와 기존 KMS 키를 계속 보고 관리할 수 있습니다.
연결 해제된 상태는 일시적이고 되돌릴 수 있도록 설계되었습니다. 언제든지 외부 키 스토어를 다시 연결할 수 있습니다. 일반적으로 재구성이 필요하지 않습니다. 그러나 연결 해제된 동안 연결된 외부 키 스토어 프록시의 속성이 변경된 경우(예: 프록시 인증 자격 증명의 교체) 다시 연결하기 전에 외부 키 스토어 설정을 편집해야 합니다.
참고
사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.
외부 키 스토어의 연결 해제가 미치는 영향을 정확하게 예측하려면 외부 키 스토어에서 KMS 키를 식별하고 과거 사용량을 판단합니다.
다음과 같은 이유로 외부 키 스토어를 연결 해제할 수 있습니다.
-
속성을 편집하기 위해. 외부 키 스토어가 연결되어 있는 동안 사용자 지정 키 스토어 이름, 프록시 URI 경로 및 프록시 인증 자격 증명을 편집할 수 있습니다. 그러나 프록시 연결 유형, 프록시 URI 엔드포인트 또는 VPC 엔드포인트 서비스 이름을 편집하려면 먼저 외부 키 스토어를 연결 해제해야 합니다. 자세한 내용은 외부 키 스토어 속성 편집 단원을 참조하세요.
-
AWS KMS와 외부 키 스토어 프록시 간의 모든 통신을 중지하기 위해. 엔드포인트 또는 VPC 엔드포인트 서비스를 비활성화하여 AWS KMS와 프록시 간의 통신을 중지할 수도 있습니다. 또한 외부 키 스토어 프록시 또는 키 관리 소프트웨어는 AWS KMS가 프록시와 통신하지 못하도록 하거나 프록시가 외부 키 관리자에 액세스하지 못하도록 하는 추가 메커니즘을 제공할 수 있습니다.
-
외부 키 스토어에서 모든 KMS 키를 비활성화하기 위해. AWS KMS콘솔 또는 작업을 사용하여 외부 키 스토어의 KMS 키를 비활성화했다가 다시 활성화할 수 있습니다. DisableKey 이러한 작업은 빠르게 완료되지만(최종 일관성에 따라 다름) 한 번에 하나의 KMS 키에 대해 작동합니다. 외부 키 스토어를 연결 해제하면 외부 키 스토어에서 모든 KMS 키의 키 상태가
Unavailable로 변경되면서 암호화 작업에서 사용이 불가능한 상태가 됩니다. -
실패한 연결 시도를 복구하려면. 외부 키 스토어를 연결하려는 시도가 실패하면(사용자 지정 키 스토어의 연결 상태가
FAILED) 다시 연결을 시도하기에 앞서 외부 키 스토어를 연결 해제해야 합니다.
연결 상태
연결 및 연결 해제는 사용자 지정 키 스토어의 연결 상태를 변경합니다. 연결 상태 값은 AWS CloudHSM 키 스토어와 외부 키 스토어에서 동일합니다.
사용자 지정 키 스토어의 연결 상태를 보려면 DescribeCustomKeyStores운영 또는 AWS KMS 콘솔을 사용하십시오. Connection state(연결 상태)는 각 사용자 지정 키 스토어 테이블, 각 사용자 지정 키 스토어에 대한 세부 정보 페이지의 General configuration(일반 구성) 섹션 및 사용자 지정 키 스토어에 있는 KMS 키의 Cryptographic configuration(암호화 구성) 탭에 표시됩니다. 자세한 내용은 AWS CloudHSM 키 스토어 보기 및 외부 키 스토어 보기 섹션을 참조하세요.
사용자 지정 키 스토어는 다음 연결 상태 중 하나를 가질 수 있습니다.
-
CONNECTED: 사용자 지정 키 스토어가 백업 키 스토어에 연결되어 있습니다. 사용자 지정 키 스토어에서 KMS 키를 생성하거나 사용할 수 있습니다.AWS CloudHSM 키 스토어의 백업 키 스토어는 연결된 AWS CloudHSM 클러스터입니다. 외부 키 스토어의 백업 키 스토어는 외부 키 스토어 프록시와 이 프록시가 지원하는 외부 키 관리자입니다.
CONNECTED 상태는 연결에 성공했으며 사용자 지정 키 스토어의 연결이 의도적으로 해제되지 않았음을 의미합니다. 그러나 연결이 제대로 작동하고 있음을 나타내지는 않습니다. AWS CloudHSM키 스토어와 연결된 AWS CloudHSM 클러스터의 상태에 대한 자세한 내용은 AWS CloudHSM 사용 설명서의 CloudWatch 지표 가져오기를 참조하십시오. AWS CloudHSM 외부 키 스토어의 상태 및 운영에 대한 자세한 내용은 각 외부 키 스토어에 대한 세부 정보 페이지의 Monitoring(모니터링) 섹션에 있는 그래프를 참조하세요. 자세한 내용은 외부 키 스토어 모니터링 단원을 참조하세요.
-
CONNECTING: 사용자 지정 키 스토어 연결 작업이 진행 중입니다. 이것은 일시적인 상태입니다. -
DISCONNECTED: 사용자 지정 키 스토어가 백업에 연결된 적이 없거나 AWS KMS 콘솔 또는 작업을 사용하여 의도적으로 연결을 끊었습니다. DisconnectCustomKeyStore -
DISCONNECTING: 사용자 지정 키 스토어 연결 해제 작업이 진행 중입니다. 이것은 일시적인 상태입니다. -
FAILED: 사용자 지정 키 스토어를 연결하려는 시도가 실패했습니다.ConnectionErrorCodeDescribeCustomKeyStores응답의 내용은 문제를 나타냅니다.
사용자 지정 키 스토어를 연결하려면 연결 상태가 DISCONNECTED여야 합니다. 연결 상태가 FAILED인 경우 ConnectionErrorCode를 사용하여 문제를 식별하고 해결합니다. 사용자 지정 키 스토어를 연결 해제한 후 다시 연결을 시도하세요. 연결 실패에 대한 도움말은 외부 키 스토어 연결 오류 단원을 참조하십시오. 연결 오류 코드에 대응하는 방법에 대한 도움말은 외부 키 스토어의 연결 오류 코드 섹션을 참조하세요.
연결 오류 코드를 보려면 다음을 수행하세요.
-
DescribeCustomKeyStores응답에서
ConnectionErrorCode요소의 값을 확인하십시오. 이 요소는ConnectionState가FAILED인 경우에만DescribeCustomKeyStores응답에 나타납니다. -
AWS KMS 콘솔에서 연결 오류 코드를 보려면 외부 키 스토어의 세부 정보 페이지에서 Failed(실패) 값 위로 마우스를 가져갑니다.
외부 키 스토어 연결(콘솔)
AWS KMS 콘솔을 사용하여 외부 키 스토어를 해당 외부 키 스토어 프록시에 연결할 수 있습니다.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
탐색 창에서 Custom key stores(사용자 지정 키 스토어), External key stores(외부 키 스토어)를 선택합니다.
-
연결하려는 외부 키 스토어의 행을 선택합니다.
외부 키 스토어의 연결 상태가 FAILED(실패)면 연결에 앞서 외부 키 스토어를 연결 해제해야 합니다.
-
Key store actions(키 스토어 작업) 메뉴에서 Connect(연결)를 선택합니다.
연결 프로세스를 완료하는 데 일반적으로 5분가량 걸립니다. 작업이 완료되면 연결 상태가 CONNECTED(연결됨)로 변경됩니다.
연결 상태가 Failed(실패)인 경우 연결 상태 위로 마우스를 가져가면 오류의 원인을 설명하는 연결 오류 코드가 표시됩니다. 연결 오류 코드에 대응하는 방법에 대한 도움말은 외부 키 스토어의 연결 오류 코드 섹션을 참조하세요. 연결 상태가 Failed(실패)인 외부 키 스토어를 연결하려면 먼저 사용자 지정 키 스토어를 연결 해제해야 합니다.
외부 키 스토어 연결(API)
연결이 끊긴 외부 키 저장소를 연결하려면 ConnectCustomKeyStore작업을 사용하십시오.
연결하기 전에 외부 키 스토어의 연결 상태연결 상태가 DISCONNECTED여야 합니다. 현재 연결 상태가 FAILED면 외부 키 스토어를 연결 해제한 다음 다시 연결합니다.
이 연결 프로세스를 완료하는 데 5분가량 소요됩니다. 빨리 실패하지 않는 한, ConnectCustomKeyStore는 속성 없이 HTTP 200 응답과 JSON 객체를 반환합니다. 하지만 이러한 초기 응답은 연결이 성공했음을 의미하지는 않습니다. 외부 키 저장소의 연결 여부를 확인하려면 DescribeCustomKeyStores응답의 연결 상태를 참조하십시오.
이 섹션의 예제는 AWS Command Line Interface(AWS CLI)
외부 키 스토어를 식별하려면 사용자 지정 키 스토어 ID를 사용합니다. 콘솔의 사용자 지정 키 저장소 페이지에서 또는 DescribeCustomKeyStores작업을 사용하여 ID를 찾을 수 있습니다. 이 예제를 실행하기 앞서 예제 ID를 유효한 ID로 바꿉니다.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
ConnectCustomKeyStore 작업은 응답에 ConnectionState를 반환하지 않습니다. 외부 키 스토어가 연결되어 있는지 확인하려면 DescribeCustomKeyStores작업을 사용하십시오. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 응답을 제한할 수 있습니다. ConnectionState 값이 CONNECTED면 외부 키 스토어가 외부 키 스토어 프록시에 연결되어 있는 것입니다.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
DescribeCustomKeyStores 응답의 ConnectionState 값이 FAILED면 ConnectionErrorCode 요소는 실패의 원인을 나타냅니다.
다음 예제에서 ConnectionErrorCode의 값이 XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND면 AWS KMS가 외부 키 스토어 프록시와 통신하는 데 사용하는 VPC 엔드포인트 서비스를 찾을 수 없는 것입니다. XksProxyVpcEndpointServiceName이 올바른지,AWS KMS 서비스 주체가 Amazon VPC 엔드포인트 서비스에서 허용되는 보안 주체인지, VPC 엔드포인트 서비스에서 연결 요청을 수락할 필요가 없는지 확인하세요. 연결 오류 코드에 대응하는 방법에 대한 도움말은 외부 키 스토어의 연결 오류 코드 섹션을 참조하세요.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
외부 키 스토어 연결 해제(콘솔)
AWS KMS 콘솔을 사용하여 외부 키 스토어를 해당 외부 키 스토어 프록시에 연결할 수 있습니다. 이 프로세스를 완료하는 데 5분가량 소요됩니다.
-
AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다. -
AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
탐색 창에서 Custom key stores(사용자 지정 키 스토어), External key stores(외부 키 스토어)를 선택합니다.
-
연결 해제하려는 외부 키 스토어의 행을 선택합니다.
-
Key store actions(키 스토어 작업) 메뉴에서 Disconnect(연결 해제)를 선택합니다.
작업이 완료되면 연결 상태가 DISCONNECTING(연결 해제 중)에서 DISCONNECTED(연결 해제됨)로 변경됩니다. 작업이 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 외부 키 스토어 연결 오류 섹션을 참조하십시오.
외부 키 스토어 연결 해제(API)
연결된 외부 키 저장소의 연결을 끊으려면 DisconnectCustomKeyStore작업을 사용하십시오. 작업이 성공하지 않으면 AWS KMS가 HTTP 200 응답 및 속성을 포함하지 않는 JSON 객체를 반환합니다. 이 프로세스를 완료하는 데 5분가량 소요됩니다. 외부 키 저장소의 연결 상태를 찾으려면 DescribeCustomKeyStores작업을 사용하십시오.
이 섹션의 예제는 AWS Command Line Interface(AWS CLI)
이 예제에서는 VPC 엔드포인트 서비스 연결이 있는 외부 키 스토어를 연결 해제합니다. 이 예제를 실행하기 앞서 예제에 나온 사용자 지정 키 스토어 ID를 유효한 ID로 대체합니다.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
외부 키 저장소의 연결이 끊겼는지 확인하려면 DescribeCustomKeyStores작업을 사용하십시오. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 응답을 제한할 수 있습니다. ConnectionState 값이 DISCONNECTED면 외부 키 스토어가 이 예제 외부 키 스토어 프록시에 더 이상 연결되어 있지 않은 것입니다.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
