기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 키의 AWS KMS 키 구성 요소 가져오기
<a name="importing-keys"></a>

제공하는 키 구성 요소를 사용하여 AWS KMS keys (KMS 키)를 생성할 수 있습니다.

KMS 키는 데이터 키를 논리적으로 표현한 것입니다. KMS 키의 메타데이터에는 암호화 작업을 수행하는 데 사용되는 키 구성 요소의 ID가 포함됩니다. [KMS 키를 생성할](create-keys.md) 때 기본적으로는 해당 KMS 키의 키 구성 요소를 AWS KMS 생성합니다. 그러나 키 구성 요소 없이 KMS 키를 생성한 다음 자신의 키 구성 요소를 해당 KMS 키로 가져올 수 있습니다. 이 KMS 키는 종종 “자체 키 사용"(BYOK)이라고 합니다.

![\[표시하는 키 구성 요소를 강조하는 키 아이콘입니다.\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/import-key.png)


**참고**  
AWS KMS 는 가져온 키 구성 요소가 있는 KMS 키로 암호화되었 AWS KMS더라도 외부에서 AWS KMS 대칭 암호화 KMS 키로 암호화된 사이퍼텍스트의 복호화를 지원하지 않습니다.는이 작업에 필요한 사이퍼텍스트 형식을 게시하지 AWS KMS 않으며 형식은 예고 없이 변경될 수 있습니다.

가져온 키 구성 요소를 사용하는 경우가 해당 구성 요소의 사본을 사용하도록 허용하면서 키 구성 요소에 대한 책임은 계속 AWS KMS 사용자에게 있습니다. 이렇게 하기로 선택하는 경우는 다음과 같습니다.
+ 요구 사항에 부합하는 엔트로피 소스를 사용하여 키 구성 요소를 생성했음을 입증하기 위해.
+  AWS 서비스와 함께 자체 인프라의 키 구성 요소를 사용하고를 사용하여 AWS KMS 내에서 해당 키 구성 요소의 수명 주기를 관리합니다 AWS.
+ 코드 서명 AWS KMS, PKI 인증서 서명 및 인증서 고정 애플리케이션을 위한 키와 같이에서 기존의 잘 설정된 키를 사용하려면
+ 에서 키 구성 요소의 만료 시간을 설정하고 AWS [수동으로 삭제](importing-keys-delete-key-material.md)하지만 나중에 다시 사용할 수 있도록 하려면 . 반면 [키 삭제를 예약](deleting-keys.md#deleting-keys-how-it-works)하려면 7 - 30일의 대기 기간이 필요하며, 이 기간이 지나면 삭제한 KMS 키를 복구할 수 없습니다.
+ 키 구성 요소의 원본 사본을 소유하고 키 구성 요소의 전체 수명 주기 동안 추가 내구성 및 재해 복구를 AWS 위해 외부에 보관합니다.
+ 비대칭 키 및 HMAC 키의 경우 가져오기는 내부 및 외부에서 작동하는 호환 가능하고 상호 운용 가능한 키를 생성합니다 AWS.

**지원되는 KMS 키 유형**

AWS KMS 는 다음 유형의 KMS 키에 대해 가져온 키 구성 요소를 지원합니다. [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)의 KMS 키에 키 구성 요소를 가져올 수 없습니다.
+ [대칭 암호화 KMS 키](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [비대칭 KMS 키(ML-DSA 키 제외)](symmetric-asymmetric.md)
+ [HMAC KMS 키](hmac.md)
+ 지원되는 모든 유형의 [다중 리전 키](multi-region-keys-overview.md)

**리전**

가져온 키 구성 요소는가 지원하는 모든에서 지원 AWS 리전 됩니다 AWS KMS .

중국 리전의 경우 대칭 암호화 KMS 키에 대한 주요 구성 요소 요구 사항은 다른 리전과 다릅니다. 자세한 내용은 [3단계: 키 구성 요소 암호화](importing-keys-encrypt-key-material.md)을 참조하세요.

**자세히 알아보기**
+ 가져온 키 구성 요소로 KMS 키를 생성하려면 [가져온 키 구성 요소가 있는 KMS 키 생성](importing-keys-conceptual.md) 단원을 참조하세요.
+ KMS 키의 가져온 키 구성 요소 만료일이 가까워지면 알려주는 알람을 만들려면 [가져온 키 구성 요소의 만료 여부에 대한 CloudWatch 경보 생성](imported-key-material-expiration-alarm.md) 단원을 참조하세요.
+ 키 구성 요소를 KMS 키로 다시 가져오려면 [키 구성 요소 다시 가져오기](importing-keys-import-key-material.md#reimport-key-material) 단원을 참조하세요.
+ 새로운 키 구성 요소를 온디맨드 교체를 위해 KMS 키에 가져오려면 [새 키 구성 요소 가져오기](importing-keys-import-key-material.md#import-new-key-material) 및 [온디맨드 키 교체 수행](rotating-keys-on-demand.md) 페이지를 참조하세요.
+ 가져온 키 요소가 있는 KMS 키를 식별하고 보려면 [가져온 키 구성 요소로 KMS 키 식별](identify-key-types.md#identify-imported-keys) 단원을 참조하세요.
+ 가져온 키 구성 요소가 있는 KMS 키를 삭제하기 위한 특별 고려 사항에 대해 알아보려면 [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key) 단원을 참조하세요.

# 가져온 키 구성 요소에 대한 특별 고려 사항
<a name="importing-keys-considerations"></a>

키 구성 요소를 로 가져오기 전에 가져온 키 구성 요소의 다음 특성을 이해해야 AWS KMS합니다.

**키 구성 요소를 생성합니다.**  
보안 요구 사항에 부합하는 임의 소스를 이용해 키 구성 요소를 생성해야 합니다.

**가용성과 지속성에 대한 책임은 고객에게 있습니다.**  
AWS KMS 는 가져온 키 구성 요소를 고가용성으로 유지하도록 설계되었습니다. 그러나 AWS KMS 는 가져온 키 구성 요소의 내구성을가 AWS KMS 생성하는 키 구성 요소와 동일한 수준으로 유지하지 않습니다. 자세한 내용은 [가져온 키 구성 요소 보호](import-keys-protect.md)을 참조하세요.

**키 구성 요소를 삭제할 수 있음**  
KMS 키에서 [가져온 키 구성 요소를 삭제](importing-keys-delete-key-material.md)하여 즉시 KMS 키를 사용할 수 없게 만들 수 있습니다. 또한 키 구성 요소를 KMS 키로 가져올 때 키의 만료 여부를 결정하고 [만료 시간을 설정](importing-keys-import-key-material.md#importing-keys-expiration)할 수 있습니다. 만료 시간이 되면가 AWS KMS [키 구성 요소를 삭제합니다](importing-keys-delete-key-material.md). 키 구성 요소가 없으면 어떠한 암호화 작업에도 KMS 키를 사용할 수 없습니다. 키를 복원하려면 같은 키 구성 요소를 다시 가져와야 합니다.

**비대칭 및 HMAC 키의 키 구성 요소는 변경할 수 없습니다.**  
KMS 키로 키 구성 요소를 가져오면, KMS 키는 키 구성 요소와 영구적으로 연결됩니다. [동일한 키 구성 요소를 가져오되](importing-keys-import-key-material.md#reimport-key-material), 다른 키 구성 요소를 KMS 키로 가져올 수는 없습니다. 또한 가져온 키 구성 요소가 있ㄴ느 KMS 키에 대한 [자동 키 교체를 활성화](rotate-keys.md)할 수 없습니다. 하지만 가져온 키 구성 요소가 있는 [KMS 키를 수동 교체](rotate-keys-manually.md)할 수 있습니다.

**대칭 암호화 키에 대해 온디맨드 교체를 수행할 수 있습니다.**  
가져온 키 구성 요소가 있는 대칭 암호화 키는 온디맨드 교체를 지원합니다. [여러 키 구성 요소](importing-keys-import-key-material.md#import-new-key-material)를 이러한 키에 가져와 [온디맨드 교체](rotating-keys-on-demand.md)를 통해 현재 키 구성 요소를 업데이트할 수 있습니다. 현재 키 구성 요소는 암호화와 복호화에 모두 사용되지만, 다른(현재가 아닌) 키 구성 요소는 복호화에만 사용할 수 있습니다.

**키 구성 요소 오리진을 변경할 수 없음**  
가져온 키 구성 요소용으로 설계된 KMS 키에는 변경할 수 없는 [오리진](create-keys.md#key-origin) `EXTERNAL` 값이 있습니다. 가져온 키 구성 요소의 KMS 키를를 포함한 다른 소스의 키 구성 요소를 사용하도록 변환할 수 없습니다 AWS KMS. 마찬가지로 AWS KMS 키 구성 요소가 있는 KMS 키를 가져온 키 구성 요소용으로 설계된 키로 변환할 수 없습니다.

**키 구성 요소를 내보낼 수 없음**  
가져온 키 구성 요소는 내보낼 수 없습니다. 가져온 키 구성 요소는 어떤 형식으로도 반환할 수 AWS KMS 없습니다. 가져온 키 구성 요소의 사본을 외부 AWS, 가급적이면 하드웨어 보안 모듈(HSM)과 같은 키 관리자에 보관하여 키 구성 요소를 삭제하거나 만료되면 다시 가져올 수 있도록 해야 합니다.

**가져온 키 구성 요소가 있는 다중 리전 키를 생성할 수 있음**  
가져온 키 구성 요소가 있는 다중 리전에는 가져온 키 구성 요소가 있는 KMS 키의 특징을 가지며, AWS 리전간에 상호 운용이 가능합니다. 가져온 키 구성 요소가 있는 다중 리전 키를 생성하려면 동일한 키 구성 요소를 기본 KMS 키와 각 복제본 키로 가져와야 합니다. 다중 리전 키의 키 구성 요소 가져오기에 대한 자세한 내용은 섹션을 참조하세요[새 키 구성 요소 가져오기](importing-keys-import-key-material.md#import-new-key-material).

**비대칭 키 및 HMAC 키는 이동 가능하며 상호 운용이 가능함**  
외부에서 비대칭 키 구성 요소와 HMAC 키 구성 요소를 사용하여 가져온 키 구성 요소가 동일한 AWS KMS 키와 상호 작용 AWS 할 수 있습니다.  
알고리즘에 사용되는 KMS 키에 불가역적으로 바인딩되는 AWS KMS 대칭 사이퍼텍스트와 달리는 암호화, 서명 및 MAC 생성에 표준 HMAC 및 비대칭 형식을 AWS KMS 사용합니다. 따라서 키는 이동이 가능하며 기존 에스크로 키 시나리오를 지원합니다.  
KMS 키에 키 구성 요소를 가져온 경우 외부에서 가져온 키 구성 요소를 사용하여 다음 작업을 AWS 수행할 수 있습니다.  
+ HMAC 키 - 가져온 키 구성 요소가 있는 HMAC KMS 키로 생성된 HMAC 태그를 확인할 수 있습니다. 가져온 키 구성 요소와 함께 HMAC KMS 키를 사용하여 외부의 키 구성 요소에 의해 생성된 HMAC 태그를 확인할 수도 있습니다 AWS.
+ 비대칭 암호화 키 - 외부에서 프라이빗 비대칭 암호화 키를 사용하여 KMS 키로 암호화된 사이퍼텍스트를 해당 퍼블릭 키로 AWS 복호화할 수 있습니다. 비대칭 KMS 키를 사용하여 외부에서 생성된 비대칭 사이퍼텍스트를 복호화할 수도 있습니다 AWS.
+ 비대칭 서명 키 - 가져온 키 구성 요소와 함께 비대칭 서명 KMS 키를 사용하여 외부에서 프라이빗 서명 키로 생성된 디지털 서명을 확인할 수 있습니다 AWS. 외부에서 비대칭 퍼블릭 서명 키를 사용하여 비대칭 KMS 키로 생성된 서명을 AWS 확인할 수도 있습니다.
+ 비대칭 키 계약 키 - 가져온 키 구성 요소가 있는 비대칭 키 계약 KMS 키를 사용하여 AWS외부 피어와 공유된 비밀을 도출할 수 있습니다.
동일한 키 구성 요소를 동일한 AWS 리전의 다른 KMS 키로 가져오는 경우 이러한 키도 상호 운용할 수 있습니다. 서로 다른에서 상호 운용 가능한 KMS 키를 생성하려면 가져온 키 구성 요소가 있는 다중 리전 키를 AWS 리전생성합니다.  

**RSA 프라이빗 키**
+ AWS KMS 에서는 가져온 RSA 프라이빗 키에 [FIPS 186-5, 섹션 A. 1.3](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)에 설명된 테스트를 준수하는 주요 요소가 있어야 합니다. 다른 소프트웨어 또는 장치는 RSA 프라이빗 키의 이러한 소인수 검증에 대해 다른 알고리즘을 사용할 수 있습니다. 드문 경우지만 다른 알고리즘으로 검증된 키가 AWS KMS에서 허용되지 않을 수 있습니다.

**대칭 암호화 키는 이동하거나 상호 운용할 수 없음**  
가 AWS KMS 생성하는 대칭 사이퍼텍스트는 이동하거나 상호 운용할 수 없습니다.는 이동성에 필요한 대칭 사이퍼텍스트 형식을 게시하지 AWS KMS 않으며, 형식은 예고 없이 변경될 수 있습니다.  
+ AWS KMS 는 가져온 키 구성 요소를 사용 AWS하더라도 외부에서 암호화하는 대칭 사이퍼텍스트를 해독할 수 없습니다.
+ AWS KMS 는 사이퍼텍스트가 가져온 키 구성 요소가 있는 KMS 키로 암호화되었 AWS KMS더라도 외부의 AWS KMS 대칭 사이퍼텍스트 복호화를 지원하지 않습니다.
+ 가져온 키 구성 요소가 동일한 KMS 키는 상호 운용이 불가능합니다. 각 KMS 키에 고유한 사이퍼텍스트를 AWS KMS 생성하는 대칭 사이퍼텍스트입니다. 이 사이퍼텍스트 형식은 데이터를 암호화한 KMS 키만 해독할 수 있도록 보장합니다.
또한 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/) 또는 [Amazon S3 클라이언트 측 암호화](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)와 같은 AWS 도구를 사용하여 대칭 사이퍼텍스트를 AWS KMS 해독할 수 없습니다.  
따라서 가져온 키 구성 요소가 있는 키를 사용하여 키 구성 요소에 조건부로 액세스할 수 있는 권한이 있는 타사가 외부의 특정 사이퍼텍스트를 복호화할 수 있는 키 에스크로 배열을 지원할 수 없습니다 AWS KMS. 키 에스크로를 지원하려면 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers)를 사용하여 AWS KMS와 독립적인 키로 메시지를 암호화합니다.

# 가져온 키 구성 요소 보호
<a name="import-keys-protect"></a>

가져온 키 구성 요소는 전송 중 및 보관 중에 보호됩니다. 키 구성 요소를 가져오기 전에 [FIPS 140-3 암호화 모듈 검증 프로그램에](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) 따라 검증된 AWS KMS 하드웨어 보안 모듈(HSMs)합니다. 래핑 퍼블릭 키를 사용하여 키 구성 요소를 직접 암호화하거나 AES 대칭 키를 사용하여 키 구성 요소를 암호화한 다음 RSA 퍼블릭 키를 사용하여 AES 대칭 키를 암호화할 수 있습니다.

수신 시는 AWS KMS HSM의 해당 프라이빗 키로 키 구성 요소를 AWS KMS 해독하고 HSM의 휘발성 메모리에만 있는 AES 대칭 키로 다시 암호화합니다. 키 구성 요소는 HSM을 일반 텍스트로 두지 않습니다. 사용 중이고 AWS KMS HSMs.

가져온 키 구성 요소와 함께 KMS 키를 사용하는 것은 KMS 키에 설정한 [액세스 제어 정책](control-access.md)에 의해서만 결정됩니다. 또한 [별칭](kms-alias.md)과 [태그](tagging-keys.md)를 사용하여 KMS 키에 대한 [액세스를 식별하고 제어](abac.md)할 수 있습니다. AWS CloudTrail과 같은 서비스를 사용하여 키를 [활성화 및 비활성화](enabling-keys.md)하고 [확인](viewing-keys.md)하며 [모니터링](monitoring-overview.md)할 수 있습니다.

하지만 키 구성 요소의 유일한 안전 장치 복사본은 유지해야 합니다. 이러한 추가 제어 조치의 대가로 가져온 키 구성 요소의 내구성과 전체 가용성에 대한 책임은 사용자에게 있습니다. AWS KMS 는 가져온 키 구성 요소를 고가용성을 유지하도록 설계되었습니다. 그러나 AWS KMS 는 가져온 키 구성 요소의 내구성을가 AWS KMS 생성하는 키 구성 요소와 동일한 수준으로 유지하지 않습니다.

내구성의 이러한 차이는 다음과 같은 경우에 의미가 있습니다.
+ 가져온 키 구성 요소의 [만료 시간을 설정](importing-keys-import-key-material.md#importing-keys-expiration)하면는 키 구성 요소가 만료된 후 AWS KMS 삭제합니다.는 KMS 키 또는 메타데이터를 삭제하지 AWS KMS 않습니다. 가져온 키 구성 요소의 만료일이 가까워지면 이를 알리는 [Amazon CloudWatch 경보를 생성](imported-key-material-expiration-alarm.md)할 수 있습니다.

  가 KMS 키에 대해 AWS KMS 생성하는 키 구성 요소를 삭제할 수 없으며 AWS KMS 키 구성 요소가 만료되도록 설정할 수 없습니다.
+ [가져온 키 구성 요소를 수동으로 삭제](importing-keys-delete-key-material.md)하면가 키 구성 요소를 AWS KMS 삭제하지만 KMS 키 또는 메타데이터는 삭제하지 않습니다. 반대로 [키 삭제를 예약](deleting-keys.md#deleting-keys-how-it-works)하려면 7\$130일의 대기 기간이 필요하며, 그 후에는가 KMS 키, 메타데이터 및 키 구성 요소를 AWS KMS 영구적으로 삭제합니다.
+ 드물지만에 영향을 미치는 특정 리전 전체의 장애 AWS KMS (예: 전체 전원 손실)가 발생하는 경우는 가져온 키 구성 요소를 자동으로 복원 AWS KMS 할 수 없습니다. 그러나 AWS KMS 는 KMS 키와 메타데이터를 복원할 수 있습니다.

사용자가 제어하는 시스템의 외부 AWS 에 가져온 키 구성 요소의 사본을 보관해야 *합니다*. 하드웨어 보안 모듈(HSM)과 같은 키 관리 시스템에 가져온 키 구성 요소의 내보내기 가능한 복사본을 저장하는 것이 좋습니다. 가장 좋은 방법은 내보낼 수 있는 키 구성 요소 사본과 함께 KMS 키 ARN과 AWS KMS 가 생성한 키 구성 요소 ID에 대한 참조를 저장하는 것입니다. 가져온 키 구성 요소가 삭제되거나 만료되면 동일한 키 구성 요소를 다시 가져올 때까지 관련 KMS 키를 사용할 수 없게 됩니다. 가져온 키 구성 요소가 영구적으로 손실되면 KMS 키로 암호화된 사이퍼텍스트를 복구할 수 없습니다.

**중요**  
대칭 암호화 키에는 여러 키 구성 요소가 연결될 수 있습니다. 이러한 키 구성 요소 중 하나를 삭제하거나 해당 키 구성 요소 중 하나가 만료되는 즉시 전체 KMS 키를 사용할 수 없게 됩니다(삭제되거나 만료되는 키 구성 요소가 `PENDING_ROTATION` 또는가 아닌 경우`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`). 이러한 키와 연결된 만료되었거나 삭제된 키 구성 요소는 키가 암호화 작업에 사용 가능해지기 전에 반드시 다시 가져와야 합니다.