기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 다중 리전 복제본 키 생성
AWS KMS 콘솔에서 [ReplicateKey 작업을 사용하거나 AWS::KMS::ReplicaKey 템플릿을 사용하여 다중 리전 복제본 키를](multi-region-keys-overview.md#mrk-primary-key) 생성할 수 있습니다. [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) [AWS::KMS::ReplicaKey CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html) [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업을 사용하여 복제본 키를 생성할 수 없습니다.
다음 절차를 사용하여 [대칭 암호화 KMS 키](symm-asymm-choose-key-spec.md#symmetric-cmks), [비대칭 KMS 키](symmetric-asymmetric.md) 또는 [HMAC KMS 키](hmac.md)를 포함한 다중 리전 기본 키를 복제할 수 있습니다.
이 작업이 완료되면 새 복제본 키의 임시 [키 상태](key-state.md)가 `Creating`입니다. 이 키 상태는 새로운 복제본 키 생성 프로세스가 완료되면 몇 초 후에 `Enabled`로 변경됩니다(또는 [가져온 키 구성 요소](importing-keys.md)로 다중 리전 키를 생성하는 경우 `PendingImport`로 변경). 키 상태가 `Creating`인 동안에는 키를 관리할 수 있지만 아직 암호화 작업에 사용할 수는 없습니다. 복제 키를 프로그래밍 방식으로 만들고 사용하는 경우 `KMSInvalidStateException`에서 다시 시도하거나 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)를 호출하여 사용하기 전에 `KeyState` 값을 확인하십시오.
실수로 복제본 키를 삭제한 경우 이 절차를 사용하여 복제본을 다시 만들 수 있습니다. 동일한 프라이머리 키를 동일한 리전에 복제할 경우 생성하는 새 복제본 키가 원래 복제본 키와 동일한 [공유 속성](multi-region-keys-overview.md#mrk-sync-properties)을 갖습니다.
**중요**
별칭, 설명 또는 태그에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
AWS CloudFormation 템플릿을 사용하여 복제본 키를 생성하려면 *AWS CloudFormation 사용 설명서*의 [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)를 참조하세요.
## 1단계: 복제본 리전 선택
일반적으로 비즈니스 모델 및 규제 요구 사항에 AWS 리전 따라 다중 리전 키를에 복제하도록 선택합니다. 예를 들어 리소스를 보관하는 리전에 키를 복제할 수 있습니다. 또는 재해 복구 요구 사항을 준수하기 위해 키를 지리적으로 먼 리전으로 복제할 수 있습니다.
다음은 복제본 리전에 대한 AWS KMS 요구 사항입니다. 선택한 리전이 이러한 요구 사항을 준수하지 않는 경우 키를 복제하려는 시도가 실패합니다.
+ **리전당 관련 다중 리전 키 1개** — 기본 키와 동일한 리전에서 또는 기본 키의 다른 복제본과 동일한 리전에서 복제본 키를 만들 수 없습니다.
해당 프라이머리 키의 복제본이 이미 있는 리전에서 프라이머리 키를 복제하려고 하면 시도가 실패합니다. 리전의 현재 복제본 키가 [`PendingDeletion` 키 상태](key-state.md)인 경우 [복제본 키 삭제를 취소](deleting-keys-scheduling-key-deletion.md)하거나 복제본 키가 삭제될 때까지 기다릴 수 있습니다.
+ **동일한 리전에 있는 여러 개의 관련되지 않은 다중 리전 키** — 동일한 리전에 여러 개의 관련되지 않은 다중 리전 키를 가질 수 있습니다. 예를 들어 `us-east-1` 리전에 두 개의 다중 리전 기본 키가 있을 수 있습니다. 각 기본 키는 `us-west-2` 리전에 복제본 키를 가질 수 있습니다.
+ **동일한 파티션의 리전** — 복제본 키 리전은 기본 키 리전과 동일한 [AWS 파티션](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)에 있어야 합니다.
+ **리전을 활성화해야 함** — 지역이 [기본적으로 비활성화](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)되어 있는 경우 AWS 계정에 대해 활성화될 때까지 해당 리전에 리소스를 생성할 수 없습니다.
## 2단계: 복제본 키 생성
**참고**
복제 키를 생성할 때도, 복제 키를 관리하고 사용하는 IAM 사용자와 역할 선택을 신중하게 검토해야 합니다. IAM 정책은 다른 IAM 사용자 및 역할에 KMS 키 관리 권한을 제공할 수 있습니다.
IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자의 사용을 장려하지 않습니다. 가능할 경우, 임시 보안 인증 정보를 제공하는 IAM 역할을 사용하세요. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
### AWS KMS 콘솔 사용
AWS KMS 콘솔에서 동일한 작업으로 다중 리전 기본 키의 복제본을 하나 이상 생성할 수 있습니다.
이 절차는 콘솔에 표준 단일 리전 KMS 키를 만드는 것과 유사합니다. 그러나 복제 키는 기본 키를 기반으로 하기 때문에 키 사양(대칭 또는 비대칭), 키 사용 또는 키 오리진과 같은 [공유 속성](multi-region-keys-overview.md#mrk-sync-properties) 값을 선택하지 않습니다.
별칭, 태그, 설명 및 키 정책을 포함하여 공유되지 않는 속성을 지정합니다. 편의상 콘솔에는 기본 키의 현재 속성 값이 표시되지만 변경할 수 있습니다. 기본 키 값을 유지하더라도는 이러한 값을 동기화된 상태로 유지하지 AWS KMS 않습니다.
**중요**
별칭, 설명 또는 태그에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. [다중 리전 기본 키](multi-region-keys-overview.md#mrk-primary-key)의 키 ID 또는 별칭을 선택합니다. 그러면 KMS 키의 키 세부 정보 페이지가 열립니다.
다중 리전 기본 키를 식별하려면 오른쪽 상단 모서리에 있는 도구 아이콘을 사용하여 테이블에 **리전 구분(Regionality)** 열을 추가합니다.
1. **리전 구분(Regionality)** 탭을 선택합니다.
1. **관련 다중 리전 키** 섹션에서 **새 복제본 키 생성**을 선택합니다.
**관련 다중 리전 키**섹션에는 기본 키와 해당 복제 키의 리전이 표시됩니다. 이 표시를 사용하여 새 복제본 키의 리전을 선택할 수 있습니다.
1. 하나 이상의 AWS 리전을 선택합니다. 이 절차에서는 선택한 각 리전에 복제본 키를 만듭니다.
메뉴에는 기본 키와 동일한 AWS 파티션의 리전만 포함됩니다. 이미 관련된 다중 리전 키가 있는 리전이 표시되지만 선택할 수는 없습니다. 메뉴의 모든 리전에 키를 복제할 권한이 없을 수 있습니다.
리전 선택을 마치면 메뉴를 닫습니다. 선택한 리전이 표시됩니다. 리전으로의 복제를 취소하려면 리전 이름 옆에 있는 **X**를 선택합니다.
1. 복제본 키에 대한 [별칭](kms-alias.md)을 입력합니다.
콘솔에 기본 키의 현재 별칭 중 하나가 표시되지만 변경할 수 있습니다. 다중 리전 기본 키와 해당 복제본에 동일한 별칭 또는 다른 별칭을 지정할 수 있습니다. 별칭은 다중 리전 키의 [공유 속성](multi-region-keys-overview.md#mrk-sync-properties)이 아닙니다.는 다중 리전 키의 별칭을 동기화하지 AWS KMS 않습니다.
별칭을 추가, 삭제 또는 업데이트하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 및 [별칭을 사용하여 KMS 키에 대한 액세스 제어](alias-authorization.md) 섹션을 참조하십시오.
1. (선택 사항) 복제본 키에 대한 설명을 입력합니다.
콘솔에 기본 키의 현재 설명이 표시되지만 변경할 수 있습니다. 설명은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 설명 또는 다른 설명을 제공할 수 있습니다.는 다중 리전 키의 키 설명을 동기화하지 AWS KMS 않습니다.
1. (선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 복제본 키에 두 개 이상의 태그를 할당하려면 **태그 추가**를 선택합니다.
콘솔에 기본 키에 현재 연결된 태그가 표시되지만 변경할 수 있습니다. 태그는 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 태그 또는 다른 태그를 지정할 수 있습니다.는 다중 리전 키의 태그를 동기화하지 AWS KMS 않습니다.
KMS 키에 태그를 지정하거나 해제하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 및 [태그를 사용하여 KMS 키에 대한 액세스 제어](tag-authorization.md) 섹션을 참조하세요.
1. 복제본 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다.
**참고**
다중 리전 프라이머리 키를 생성할 때 프라이머리 키 정책을 수정한 경우, 콘솔은 복제 키 생성 과정에서 키 관리자 또는 키 사용자(11\$115단계)를 선택하라는 프롬프트를 표시하지 않습니다. 이 경우에는 **키 정책 편집** 단계(17단계)에서 **편집**을 선택해 키 관리자와 사용자에게 필요한 권한을 키 정책에 수동으로 추가해야 합니다.
이 단계는 복제본 키에 대한 [키 정책](key-policies.md)을 만드는 프로세스를 시작합니다. 콘솔에 기본 키의 현재 키 정책이 표시되지만 변경할 수 있습니다. 키 정책은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 키 정책 또는 다른 키 정책을 지정할 수 있습니다. AWS KMS 는 키 정책을 동기화하지 않습니다. 언제든지 KMS 키의 키 정책을 변경할 수 있습니다.
AWS KMS 콘솔은 문 식별자 아래의 키 정책에 키 관리자를 추가합니다`"Allow access for Key Administrators"`. 이 문 식별자를 수정하면 문에 대해 콘솔이 업데이트 내용을 표시하는 방식에 영향을 미칠 수 있습니다.
1. (선택 사항) 선택한 IAM 사용자와 역할이 페이지 하단의 **키 삭제** 섹션에서 이 KMS 키를 삭제하지 못하도록 하려면 **키 관리자가 이 키를 삭제하도록 허용(Allow key administrators to delete this key)** 확인란의 선택을 취소합니다.
1. **다음**을 선택합니다.
1. [암호화 작업](kms-cryptography.md#cryptographic-operations)에서 KMS 키를 사용할 수 있는 IAM 사용자 및 역할을 선택합니다.
**Note**
AWS KMS 콘솔은 명령문 식별자 `"Allow use of the key"` 및 아래의 키 정책에 키 사용자를 추가합니다`"Allow attachment of persistent resources"`. 이러한 문 식별자들을 수정하면 문에 대해 콘솔이 업데이트 내용을 표시하는 방식에 영향을 미칠 수 있습니다.
1. (선택 사항) 다른 사용자가 암호화 작업에이 KMS 키를 AWS 계정 사용하도록 허용할 수 있습니다. 이렇게 하려면 페이지 하단의 **기타 AWS 계정** 섹션에서 **다른 AWS 계정추가**를 선택하고 외부 계정의 AWS 계정 식별 번호를 입력합니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.
**참고**
외부 계정의 보안 주체가 KMS 키를 사용하도록 허용하려면 외부 계정 관리자가 이러한 권한을 제공하는 IAM 정책을 생성해야 합니다. 자세한 정보는 [다른 계정의 사용자가 KMS를 사용하도록 허용](key-policy-modifying-external-accounts.md) 섹션을 참조하세요.
1. **다음**을 선택합니다.
1. 키에 대한 키 정책 문을 검토합니다. 키 정책을 변경하려면 **편집**을 선택하세요.
1. **다음**을 선택합니다.
1. 선택한 키 설정을 검토합니다. 여전히 돌아가서 모든 설정을 변경할 수 있습니다.
1. **마침**을 선택하여 다중 리전 복제본 키를 생성하세요.
### AWS KMS API 사용
다중 리전 복제본 키를 생성하려면 [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) 작업을 수행합니다. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업을 사용하여 복제본 키를 생성할 수 없습니다. 이 작업은 복제본 키를 한 번에 하나씩 생성합니다. 지정하는 리전은 복제본 키에 대한 [리전 요구 사항](#replica-region)을 준수해야 합니다.
`ReplicateKey` 작업을 사용할 때 다중 리전 키의 [공유 속성](multi-region-keys-overview.md#mrk-sync-properties)에 대한 값을 지정하지 않습니다. 공유 속성 값은 기본 키에서 복사되고 동기화된 상태로 유지됩니다. 그러나 공유되지 않는 속성의 값을 지정할 수 있습니다. 그렇지 않으면는 기본 키의 값이 아닌 KMS 키의 표준 기본값을 AWS KMS 적용합니다.
**참고**
`Description`, `KeyPolicy`또는 `Tags` 파라미터에 값을 지정하지 않으면는 빈 문자열 설명, [기본 키 정책 및 태그가 없는 복제본 키를](key-policy-default.md) AWS KMS 생성합니다.
`Description` 또는 `Tags` 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
예를 들어 다음 명령은 아시아 태평양(시드니) 리전(ap-southeast-2)에 다중 리전 복제본 키를 만듭니다. 이 복제본 키는 `KeyId` 파라미터 값으로 식별되는 미국 동부(버지니아 북부) 리전(us-east-1)의 기본 키를 기반으로 모델링됩니다. 이 예에서는 키 정책을 포함하여 다른 모든 속성을 위해 기본값을 허용합니다.
응답은 새 복제 키를 설명합니다. 여기에는 공유 속성에 대한 필드(예: `KeyId`, `KeySpec`, `KeyUsage` 및 키 구성 요소 오리진(`Origin`))이 포함되어 있습니다. 여기에는 `Description`, 키 정책(`ReplicaKeyPolicy`) 및 태그(`ReplicaTags`)와 같이 기본 키와 무관한 속성도 포함됩니다.
응답에는 ap-southeast-2 리전에서 방금 생성된 키를 포함하여 기본 키의 키 ARN 및 리전 및 모든 복제본 키가 포함됩니다. 이 예에서 `ReplicaKey` 요소는 이 기본 키가 이미 유럽(아일랜드) 리전(eu-west-1)에 복제되었음을 보여줍니다.
```
$ aws kms replicate-key \
--key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--replica-region ap-southeast-2
{
"ReplicaKeyMetadata": {
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "REPLICA",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "ap-southeast-2"
},
{
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
}
]
},
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1607472987.918,
"Description": "",
"Enabled": true,
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
},
"ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",...,
"ReplicaTags": []
}
```