다중 리전 프라이머리 키 생성 - AWS Key Management Service

다중 리전 프라이머리 키 생성

AWS KMS 콘솔에서 또는 AWS KMS API를 사용하여 다중 리전 기본 키를 만들 수 있습니다. AWS KMS가 다중 리전 키를 지원하는 모든 AWS 리전에서 기본 키를 생성할 수 있습니다.

다중 리전 기본 키를 생성하려면 보안 주체에게 IAM 정책의 kms:CreateKey 권한을 포함하여 KMS 키를 생성하는 데 필요한 것과 동일한 권한이 필요합니다. 보안 주체는 또한iam:CreateServiceLinkedRole 권한도 필요합니다. kms:MultiRegionKeyType 조건 키를 사용하여 다중 리전 기본 키 생성 권한을 허용하거나 거부할 수 있습니다.

참고

다중 리전 프라이머리 키를 생성할 때, 키를 관리하고 사용하는 IAM 사용자와 역할을 신중하게 검토하여 선택해야 합니다. IAM 정책은 다른 IAM 사용자 및 역할에 KMS 키 관리 권한을 제공할 수 있습니다.

IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자의 사용을 장려하지 않습니다. 가능할 경우, 임시 보안 인증 정보를 제공하는 IAM 역할을 사용하세요. 자세한 내용은 IAM 사용 설명서IAM의 보안 모범 사례를 참조하세요.

AWS KMS 콘솔에서다중 리전 기본 키를 생성하려면 KMS 키 생성에 사용하는 것과 동일한 프로세스를 사용하십시오. 고급 옵션에서 다중 리전 키를 선택합니다. 전체 지침은 KMS 키 생성 섹션을 참조하십시오.

중요

별칭, 설명 또는 태그에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.

  1. AWS Management 콘솔에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 키 생성(Create key)을 선택합니다.

  5. 대칭 또는 비대칭 키 유형을 선택합니다. 대칭 키가 기본값입니다.

    대칭인 다중 리전 HMAC KMS 키를 포함하여 다중 리전 대칭 및 비대칭 키를 생성할 수 있습니다.

  6. 키 사용을 선택합니다. 암호화 및 해독(Encrypt and decrypt)이 기본값입니다.

    도움말은 KMS 키 생성, 비대칭 KMS 키 생성 또는 HMAC KMS 키 생성 섹션을 참조하세요.

  7. 고급 옵션을 확장합니다.

  8. AWS KMS가 기본 및 복제본 키가 공유할 키 구성 요소를 생성하도록 하려면 키 구성 요소 오리진(Key material origin)에서 KMS를 선택합니다. 기본 및 복제본 키로 키 구성 요소를 가져오는 경우 외부(키 구성 요소 가져오기)(External (Import key material))를 선택합니다.

  9. 리전 특성에서 다중 리전 키를 선택합니다.

    KMS 키를 생성한 후에는 이 설정을 변경할 수 없습니다.

  10. 기본 키의 별칭을 입력합니다.

    별칭은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 별칭 또는 다른 별칭을 지정할 수 있습니다. AWS KMS는 다중 리전 키의 별칭을 동기화하지 않습니다.

    참고

    별칭을 추가, 삭제 또는 업데이트하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC별칭을 사용하여 KMS 키에 대한 액세스 제어 섹션을 참조하십시오.

  11. (선택 사항) 기본 키에 대한 설명을 입력합니다.

    설명은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 설명 또는 다른 설명을 지정할 수 있습니다. AWS KMS는 다중 리전 키의 설명을 동기화하지 않습니다.

  12. (선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 기본 키에 두 개 이상의 태그를 할당하려면 태그 추가(Add tag)를 선택합니다.

    태그는 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 태그 또는 다른 태그를 지정할 수 있습니다. AWS KMS는 다중 리전 키의 태그를 동기화하지 않습니다. KMS 키의 태그는 언제든지 변경할 수 있습니다.

    참고

    KMS 키에 태그를 지정하거나 해제하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC태그를 사용하여 KMS 키에 대한 액세스 제어 섹션을 참조하세요.

  13. 기본 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다.

    Notes

    • 이 단계는 기본 키에 대한 키 정책을 만드는 프로세스를 시작합니다. 키 정책은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 키 정책 또는 다른 키 정책을 지정할 수 있습니다. AWS KMS는 다중 리전 키의 키 정책을 동기화하지 않습니다. KMS 키의 키 정책은 언제든지 변경할 수 있습니다.

    • 다중 리전 프라이머리 키를 생성할 때는 콘솔에서 생성된 기본 키 정책을 사용하는 것이 좋습니다. 이 정책을 수정하는 경우, 콘솔은 복제 키 생성 시 키 관리자 및 사용자를 선택하는 단계를 제공하지 않으며 해당 정책 문도 추가하지 않습니다. 따라서 이러한 항목은 수동으로 추가해야 합니다.

    • AWS KMS 콘솔은 키 정책의 문 식별자 "Allow access for Key Administrators"에 키 관리자를 추가합니다. 이 문 식별자를 수정하면 문에 대해 콘솔이 업데이트 내용을 표시하는 방식에 영향을 미칠 수 있습니다.

  14. (선택 사항) 선택한 IAM 사용자와 역할이 페이지 하단의 키 삭제 섹션에서 이 KMS 키를 삭제하지 못하도록 하려면 키 관리자가 이 키를 삭제하도록 허용(Allow key administrators to delete this key) 확인란의 선택을 취소합니다.

  15. 다음을 선택합니다.

  16. 암호화 작업에서 KMS 키를 사용할 수 있는 IAM 사용자 및 역할을 선택합니다.

    Notes

    AWS KMS 콘솔은 키 정책의 문 식별자 "Allow use of the key""Allow attachment of persistent resources"에 키 사용자를 추가합니다. 이러한 문 식별자들을 수정하면 문에 대해 콘솔이 업데이트 내용을 표시하는 방식에 영향을 미칠 수 있습니다.

  17. (선택 사항) 다른 AWS 계정이 암호화 작업에서 이 KMS 키를 사용하도록 허용할 수 있습니다. 이렇게 하려면 페이지 하단의 기타AWS 계정 섹션에서 다른 AWS 계정 추가를 선택하고 외부 계정의 AWS 계정 식별 번호를 입력합니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.

    참고

    외부 계정의 보안 주체가 KMS 키를 사용하도록 허용하려면 외부 계정 관리자가 이러한 권한을 제공하는 IAM 정책을 생성해야 합니다. 자세한 정보는 다른 계정의 사용자가 KMS를 사용하도록 허용 섹션을 참조하세요.

  18. 다음을 선택합니다.

  19. 키에 대한 키 정책 문을 검토합니다. 키 정책을 변경하려면 편집을 선택하세요.

  20. 다음을 선택합니다.

  21. 선택한 키 설정을 검토합니다. 여전히 돌아가서 모든 설정을 변경할 수 있습니다.

  22. 마침을 선택하여 다중 리전 프라이머리 키를 생성하세요.

다중 리전 기본 키를 만들려면 CreateKey 작업을 수행합니다. 값이 TrueMultiRegion 매개변수를 사용합니다.

예를 들어 다음 명령은 호출자의 AWS 리전(us-east-1)에 다중 리전 기본 키를 생성합니다. 키 정책을 포함하여 다른 모든 속성을 위해 기본값을 허용합니다. 다중 리전 기본 키의 기본값은 기본 키 정책을 포함하여 다른 모든 KMS 키의 기본값과 동일합니다. 이 절차에서는 기본 KMS 키인 대칭 암호화 키를 생성합니다.

응답에는 복제본 키가 없는 다중 리전 기본 키에 대한 값과 일반적인 하위 요소가 있는 MultiRegion 요소 및 MultiRegionConfiguration 요소가 포함됩니다. 다중 리전 키의 키 ID는 항상 mrk-로 시작합니다.

중요

Description 또는 Tags 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.

$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}