AWS KMS에서 고객 관리형 CMK를 수동으로 교체하려면 어떻게 해야 합니까?
최종 업데이트 날짜: 2019년 4월 12일
AWS Key Management Service(AWS KMS)에서는 CMK(고객 마스터 키)를 1년에 한 번 자동으로 교체합니다. 1년에 한 번 자동으로 CMK를 교체하기 전에 수동으로 교체하려면 어떻게 해야 합니까?
해결 방법
수동 키 교체를 사용하여 현재 CMK를 교체하고 새 CMK를 생성합니다.
이 예제에서는 현재 CMK를 새 CMK로 교체하는 방법을 보여줍니다.
중요: 시작하기 전에 AWS CLI(명령줄 인터페이스)를 설치 및 구성해야 합니다.
1. 이름이 application-current인 별칭을 생성하고 새 CMK에 연결합니다.
acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-current --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 0987dcba-09fe-87dc-65ba-ab0987654321
2. 이름이 "application-20180606"인 별칭을 생성합니다. 이 별칭은 교체할 KMS 키에 대한 이름의 일부로 교체 날짜(이 예제에서는 "2018-06-06")를 포함합니다. CMK에는 다음 2개의 별칭이 있습니다.
acbc32cf8f6f:~ $$ aws kms create-alias --alias-name alias/application-20180606 --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-20180606 alias/application-20180606 0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 0987dcba-09fe-87dc-65ba-ab0987654321
3. 다음과 비슷한 방식으로 새 CMK를 생성합니다.
acbc32cf8f6f:~ $$ aws kms create-key
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "9bf76697-5b41-4caf-9fe1-e23bbe20f858",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1528289057.531,
"Arn": "arn:aws:kms:eu-west-1:123456789012:key/9bf76697-5b41-4caf-9fe1-e23bbe20f858",
"AWSAccountId": "123456789012"
}
}
4. 새 CMK에 application-current 별칭을 연결합니다.
$$ aws kms update-alias --alias-name alias/application-current --target-key-id NEW_KMS_KEY_ID
5. 새 CMK와 현재 CMK가 모두 있습니다. application-current 키를 사용하여 데이터를 암호화합니다. AWS KMS는 데이터를 해독할 때 CMK를 자동으로 확인합니다.
acbc32cf8f6f:~ $$ aws kms list-aliases --output text | grep application
ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-20180606 alias/application-20180606 0987dcba-09fe-87dc-65ba-ab0987654321
ALIASES arn:aws:kms:eu-west-1:123456789012:alias/application-current alias/application-current 9b5d79d7-f04c-4b30-baf1-deed52a7cc97
중요: 키 교체 수행 시점을 추적하거나 변경 사항을 롤백하려면 현재 CMK를 백업으로 보관합니다.
참고: 기존 키가 있는 사용자는 해당 정책을 application-current 키에 복사해야 합니다.
6. KMS 콘솔에 로그인하여 [고객 관리형 키]를 선택합니다.
7. [별칭]에서 현재 키를 선택합니다.
8. [키 정책]에서 [정책 보기로 전환]을 선택합니다.
9. 현재 정책을 복사한 다음 [고객 관리형 키]를 선택합니다.
10. [별칭]에서 application-current를 선택합니다.
11. [키 정책]에서 [편집]을 선택하고 application-current 정책을 삭제한 후 현재 정책을 붙여넣고 [변경 사항 저장]을 선택합니다.