기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 온디맨드 키 교체 수행
<a name="rotating-keys-on-demand"></a>

자동 키 교체 활성화 여부에 관계없이 고객 관리형 KMS 키에서 키 구성 요소의 온디맨드 교체를 수행할 수 있습니다. 자동 교체를 비활성화([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html))해도 온디맨드 교체를 수행하는 기능에 영향을 주지 않으며 진행 중인 온디맨드 교체도 취소되지 않습니다. 온디맨드 교체는 기존 자동 교체 일정을 변경하지 않습니다. 예를 들어 자동 키 교체가 활성화되고 교체 기간이 730일인 KMS 키를 가정해 보겠습니다. 키가 2024년 4월 14일에 자동으로 교체되도록 예정되어 있고 2024년 4월 10일에 온디맨드 교체를 수행하는 경우, 키는 2024년 4월 14일 및 그 이후 730일마다 예정대로 자동으로 교체됩니다.

온디맨드 키 교체는 KMS 키당 최대 25회 수행할 수 있습니다. AWS KMS 콘솔을 사용하여 KMS 키에 사용할 수 있는 나머지 온디맨드 교체 횟수를 볼 수 있습니다.

온디맨드 키 교체는 [대칭 암호화 KMS 키](symm-asymm-choose-key-spec.md#symmetric-cmks)에서만 지원됩니다. [사용자 지정](key-store-overview.md#custom-key-store-overview) [키 스토어에서 비대칭 KMS](symmetric-asymmetric.md) 키, [HMAC KMS 키](hmac.md) 또는 KMS 키의 온디맨드 교체를 수행할 수 없습니다. 관련 [다중 리전 키](rotate-keys.md#multi-region-rotate) 세트의 온디맨드 교체를 수행하려면 프라이머리 키에서 온디맨드 교체를 간접적으로 호출합니다.

`kms:RotateKeyOnDemand` 및 `kms:GetKeyRotationStatus` 권한이 있는 권한 있는 사용자는 AWS KMS 콘솔 및 AWS KMS API를 사용하여 온디맨드 키 교체를 시작하고 키 교체 상태를 볼 수 있습니다. [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)를 사용해 KMS 키에 대해 완료된 교체 내역을 확인하세요.

**Topics**
+ [온디맨드 키 교체 시작(콘솔)](#rotate-on-demand-console)
+ [온디맨드 키 교체(AWS KMS API) 시작](#rotate-on-demand-api)

## 온디맨드 키 교체 시작(콘솔)
<a name="rotate-on-demand-console"></a>

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

1. 를 변경하려면 페이지 오른쪽 상단의 리전 선택기를 AWS 리전사용합니다.

1. 탐색 창에서 **고객 관리형 키**를 선택합니다. ( AWS 관리형 키의 교체를 온디맨드로 수행할 수 없습니다. 키는 매년 자동으로 교체됩니다.)

1. KMS 키의 별칭 또는 키 ID를 선택합니다.

1. **키 구성 요소 및 교체** 탭을 선택합니다.

   **키 구성 요소 및 교체** 탭은 자동 또는 온디맨드 교체를 지원하는 대칭 암호화 KMS 키의 상세 페이지에만 표시됩니다. 여기에는에서 AWS KMS 생성한 키 구성 요소가 있는 KMS 키(**AWS\_KMS** 오리진)와 가져온 키 구성 요소가 있는 KMS 키(**외부** 오리진)가 포함됩니다.

   [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)에서는 비대칭 KMS 키, HMAC KMS 키 또는 KMS 키의 온디맨드 교체를 수행할 수 없습니다. 그러나 이들을 [수동으로 교체](rotate-keys-manually.md)할 수 있습니다.

1. **지금 교체**를 선택하세요. 가져온 키 구성 요소가 있는 대칭 암호화 키의 경우 지금 **교체** 옵션은 이전에 [새 키 구성 요소를 가져](importing-keys-import-key-material.md#import-new-key-material)왔고 **교체 보류** 중 상태인 경우에만 사용할 수 있습니다.
**참고**  
다중 리전 키의 경우 기본 리전 키만 교체할 수 있습니다.

1. 경고와 키의 나머지 온디맨드 교체 횟수에 대한 정보를 읽고 고려합니다. 교체 후 현재 상태가 될 키 구성 요소의 ID, 설명, 만료 시간 등의 정보도 확인할 수 있습니다. 온디맨드 교체를 진행하지 않기로 결정한 경우 **취소**를 선택합니다.

1. **키 교체**를 선택하여 온디맨드 교체를 확인합니다.
**참고**  
온디맨드 교체에는 다른 AWS KMS 관리 작업과 동일한 최종 일관성 효과가 적용됩니다. AWS KMS전체에서 새 키 자료를 사용할 수 있게 되기까지 약간의 지연이 있을 수 있습니다. 콘솔 상단의 배너에서 온디맨드 교체가 완료되는 시기를 알려줍니다.

## 온디맨드 키 교체(AWS KMS API) 시작
<a name="rotate-on-demand-api"></a>

[AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/)를 사용하여 온디맨드 키 교체를 시작하고 고객 관리형 키의 현재 교체 상태를 볼 수 있습니다. 이 예제는 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)를 사용하지만, 사용자는 지원되는 어떤 프로그래밍 언어라도 사용할 수 있습니다.

[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) 작업은 지정된 KMS 키에 대한 온디맨드 키 교체를 즉시 시작합니다. 이러한 작업에서 KMS 키를 식별하려면 해당 [키 ID](concepts.md#key-id-key-id) 또는 [키 ARN](concepts.md#key-id-key-ARN)을 사용합니다.

다음 예제에서는 지정된 대칭 암호화 KMS 키에서 온디맨드 키 교체를 시작하고 [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html) 작업을 사용하여 온디맨드 교체가 진행 중인지 확인합니다. `kms:GetKeyRotationStatus` 응답의 `OnDemandRotationStartDate`는 진행 중인 온디맨드 교체가 시작된 날짜와 시간을 식별합니다. 이 예시에서 KMS 키는 365일 주기의 자동 교체도 활성화되어 있습니다.

```
$ aws kms rotate-key-on-demand --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}
```

KMS 키가 자동 교체를 지원하지 않거나 자동 교체가 활성화되어 있지 않은 경우, `kms:GetKeyRotationStatus` 응답에는 다음 예시와 같이 표시되는 필드가 더 적습니다.

```
$ aws kms rotate-key-on-demand --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}

$ aws kms get-key-rotation-status --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": false,
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```