기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 자동 키 교체를 활성화하려면
<a name="rotating-keys-enable"></a>

기본적으로 KMS 키에 대해 *자동 키 교체*를 활성화하면는 매년 KMS 키에 대한 새 암호화 구성 요소를 AWS KMS 생성합니다. 또한 사용자 지정을 지정[rotation-period](rotate-keys.md#rotation-period)하여 키 구성 요소를 AWS KMS 교체할 자동 키 교체를 활성화한 후의 일수와 이후 각 자동 교체 사이의 일수를 정의할 수 있습니다.

자동 키 교체에는 다음과 같은 이점이 있습니다.
+ 키를 교체할 때 [키 ID](concepts.md#key-id-key-id), [키 ARN](concepts.md#key-id-key-ARN), 리전, 정책 및 권한을 포함한 KMS 키의 속성은 변경되지 않습니다.
+ KMS 키 ID 또는 키 ARN을 참조하는 애플리케이션이나 별칭을 변경할 필요가 없습니다.
+ 키 구성 요소를 교체해도 AWS 서비스에서의 KMS 키 사용에 영향을 미치지 않습니다.
+ 키 교체를 활성화하면는 AWS KMS 교체 기간에 정의된 다음 교체 날짜에 KMS 키를 자동으로 교체합니다. 업데이트를 기억하거나 예약할 필요가 없습니다.

 AWS KMS 콘솔에서 또는 [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) 작업을 사용하여 자동 키 교체를 활성화할 수 있습니다. 자동 키 교체를 활성화하려면 `kms:EnableKeyRotation` 권한이 필요합니다. AWS KMS 권한에 대한 자세한 내용은 단원을 참조하십시오[권한 참조](kms-api-permissions-reference.md).

## AWS KMS 콘솔 사용
<a name="rotate-keys-console"></a>

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

1. 를 변경하려면 페이지 오른쪽 상단의 리전 선택기를 AWS 리전사용합니다.

1. 탐색 창에서 **고객 관리형 키**를 선택합니다. ( AWS 관리형 키의 교체를 활성화하거나 비활성화할 수 없습니다. 매년 자동으로 교체됩니다.)

1. KMS 키의 별칭 또는 키 ID를 선택합니다.

1. **키 교체(Key rotation)** 탭을 선택합니다.

   **키 교체** 탭은 [다중 리전](rotate-keys.md#multi-region-rotate) 대칭 암호화 KMS 키를 포함하여 AWS KMS 가 생성한 키 구성 요소가 있는 대칭 암호화 KMS 키의 세부 정보 페이지에만 나타납니다(**오리진**은 **AWS\$1KMS**).

   비대칭 KMS 키, HMAC KMS 키, [가져온 키 구성 요소](importing-keys.md)가 있는 KMS 키 또는 [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)의 KMS 키는 자동으로 교체할 수 없습니다. 그러나 이들을 [수동으로 교체](rotate-keys-manually.md)할 수 있습니다.

1. **자동 키 교체** 섹션에서 **편집**을 선택합니다.

1. **키 교체**에서 **활성화**를 선택합니다.
**참고**  
KMS 키가 비활성화되거나 삭제 보류 중인 경우 AWS KMS 는 키 구성 요소를 교체하지 않으며 자동 키 교체 상태 또는 교체 기간을 업데이트할 수 없습니다. KMS 키를 활성화하거나 삭제를 취소하여 자동 키 교체 구성을 업데이트합니다. 자세한 내용은 [키 교체의 작동 방식](rotate-keys.md#rotate-keys-how-it-works) 및 [키의 AWS KMS 키 상태](key-state.md) 섹션을 참조하세요.

1. (선택 사항) 90\$12,560일의 교체 기간을 입력합니다. 기본값은 365일입니다. 사용자 지정 교체 기간을 지정하지 않으면 AWS KMS 는 매년 키 구성 요소를 교체합니다.

   [kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days) 조건 키를 사용하여 위탁자가 교체 기간에 지정할 수 있는 값을 제한할 수 있습니다.

1. **저장**을 선택합니다.

## AWS KMS API 사용
<a name="rotate-keys-api"></a>

[AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/)를 사용하여 자동 키 교체를 활성화 및 비활성화하고 고객 관리형 키의 현재 교체 상태를 볼 수 있습니다. 이 예제들은 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)를 사용하지만, 사용자는 어떤 지원되는 프로그래밍 언어라도 사용할 수 있습니다.

[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html) 작업은 지정된 KMS 키에 대한 자동 키 교체를 활성화합니다. 이 작업에서 KMS 키를 식별하려면 해당 [키 ID](concepts.md#key-id-key-id) 또는 [키 ARN](concepts.md#key-id-key-ARN)을 사용합니다. 기본적으로 고객 관리형 KMS 키에 대한 키 교체는 비활성화됩니다.

[kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days) 조건 키를 사용하여 위탁자가 `EnableKeyRotation` 요청의 `RotationPeriodInDays` 파라미터에 지정할 수 있는 값을 제한할 수 있습니다.

다음 예제에서는 지정된 대칭 암호화 KMS 키에 대해 교체 기간이 180일인 키 교체를 활성하고 [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) 작업을 사용하여 결과를 확인합니다.

```
$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```