AWS KMS에서 고객 관리형 CMK를 수동으로 교체하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2019년 4월 12일

AWS Key Management Service(AWS KMS)에서는 CMK(고객 마스터 키)를 1년에 한 번 자동으로 교체합니다. 1년에 한 번 자동으로 CMK를 교체하기 전에 수동으로 교체하려면 어떻게 해야 합니까?

​해결 방법

수동 키 교체를 사용하여 현재 CMK를 교체하고 새 CMK를 생성합니다.

이 예제에서는 현재 CMK를 새 CMK로 교체하는 방법을 보여줍니다.

중요: 시작하기 전에 AWS CLI(명령줄 인터페이스)를 설치구성해야 합니다.

1.    이름이 application-current인 별칭을 생성하고 새 CMK에 연결합니다.

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current    alias/application-current    0987dcba-09fe-87dc-65ba-ab0987654321

2.    이름이 "application-20180606"인 별칭을 생성합니다. 이 별칭은 교체할 KMS 키에 대한 이름의 일부로 교체 날짜(이 예제에서는 "2018-06-06")를 포함합니다. CMK에는 다음 2개의 별칭이 있습니다.

acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     0987dcba-09fe-87dc-65ba-ab0987654321

3.    다음과 비슷한 방식으로 새 CMK를 생성합니다.

acbc32cf8f6f:~ $$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1528289057.531,
        "Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
        "AWSAccountId": "123456789012"
    }
}

4.    새 CMK에 application-current 별칭을 연결합니다.

$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID

5.    새 CMK와 현재 CMK가 모두 있습니다. application-current 키를 사용하여 데이터를 암호화합니다. AWS KMS는 데이터를 해독할 때 CMK를 자동으로 확인합니다.

acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-20180606    alias/application-20180606    0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES    arn:aws:kms:eu-west-1:123456789012:alias/application-current     alias/application-current     9b5d79d7-f04c-4b30-baf1-deed52a7cc97

중요: 키 교체 수행 시점을 추적하거나 변경 사항을 롤백하려면 현재 CMK를 백업으로 보관합니다.

참고: 기존 키가 있는 사용자는 해당 정책을 application-current 키에 복사해야 합니다.

6.    KMS 콘솔에 로그인하여 [고객 관리형 키]를 선택합니다.

7.    [별칭]에서 현재 키를 선택합니다.

8.    [키 정책]에서 [정책 보기로 전환]을 선택합니다.

9.    현재 정책을 복사한 다음 [고객 관리형 키]를 선택합니다.

10.   [별칭]에서 application-current를 선택합니다.

11.   [키 정책]에서 [편집]을 선택하고 application-current 정책을 삭제한 후 현재 정책을 붙여넣고 [변경 사항 저장]을 선택합니다.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?