기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 키 식별 및 보기
[AWS Management Console](https://console.aws.amazon.com/kms) 또는 [AWS Key Management Service (AWS KMS) API](https://docs.aws.amazon.com/kms/latest/APIReference/)를 사용하여 관리하는 KMS 키와 관리되는 KMS 키를 포함하여 각 계정 및 리전 AWS KMS keys 에서를 볼 수 있습니다 AWS.
**Topics**
+ [키 ID 및 키 ARN 찾기](find-cmk-id-arn.md)
+ [KMS 키 세부 정보 액세스 및 나열](finding-keys.md)
+ [다양한 키 유형 식별](identify-key-types.md)
+ [콘솔 보기 사용자 지정](viewing-console-customize.md)
+ [키 스토어에서 KMS 키 및 AWS CloudHSM 키 구성 요소 찾기](find-key-material.md)
# 키 ID 및 키 ARN 찾기
를 식별하려면 [키 ID](concepts.md#key-id-key-id) 또는 Amazon 리소스 이름([키 ARN](concepts.md#key-id-key-ARN))을 사용할 AWS KMS key수 있습니다. [암호화 작업](kms-cryptography.md#cryptographic-operations)에서 [별칭 이름](concepts.md#key-id-alias-name)이나 [별칭 ARN](concepts.md#key-id-alias-ARN)을 사용할 수도 있습니다.
[AWS KMS 콘솔](https://console.aws.amazon.com/kms)에서 또는 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 작업을 사용하여 계정 및 리전에 있는 각 KMS 키의 키 ID와 키 ARN을 식별할 수 있습니다.
에서 지원하는 KMS 키 식별자에 대한 자세한 내용은 섹션을 AWS KMS참조하세요[키 식별자(KeyId)](concepts.md#key-id). 별칭 이름 및 별칭 ARN 찾는 방법에 대한 자세한 내용은 [KMS 키의 별칭 이름 및 별칭 ARN 찾기](alias-view.md) 단원을 참조하십시오.
## AWS KMS 콘솔 사용
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
1. 해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 **고객 관리형 키**를 선택합니다. 가 AWS 자동으로 생성하고 관리하는 계정의 키를 보려면 탐색 창에서 **AWS 관리형 키를** 선택합니다.
1. KMS 키의 [키 ID](concepts.md#key-id-key-id)를 찾으려면 KMS 키 별칭으로 시작하는 행을 확인합니다.
**키 ID** 열은 기본적으로 테이블에 표시됩니다. 키 ID 열이 테이블에 표시되지 않으면 [콘솔 보기 사용자 지정](viewing-console-customize.md) 단원에 설명된 절차에 따라 복원합니다. KMS 키의 키 ID는 세부 정보 페이지에서도 볼 수 있습니다.
![\[고객 관리형 키 table showing Key ID for a single key-test alias.\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/find-key-id-new.png)
1. KMS 키의 Amazon 리소스 이름(ARN)을 찾으려면 키 ID 또는 별칭을 선택합니다. [키 ARN](concepts.md#key-id-key-ARN)은 **일반 구성** 섹션에 표시됩니다.
![\[General configuration section showing key alias, status, and ARN details.\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/find-key-arn.png)
## AWS KMS API 사용
의 [키 ID](concepts.md#key-id-key-id)와 [키 ARN](concepts.md#key-id-key-ARN)을 찾으려면 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 작업을 AWS KMS key사용합니다.
`ListKeys` 작업은 호출자의 계정 및 리전에 있는 모든 KMS 키의 ID와 Amazon 리소스 이름(ARN)을 반환합니다.
예를 들면, `ListKeys` 작업 호출은 이 가상 계정에 있는 각 KMS 키의 ID와 ARN을 반환합니다. 다양한 프로그래밍 언어의 예는 [AWS SDK 또는 CLI와 `ListKeys` 함께 사용](example_kms_ListKeys_section.md) 섹션을 참조하십시오.
```
$ aws kms list-keys
{
"Keys": [
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyArn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
]
}
```
# KMS 키 세부 정보 액세스 및 나열
[AWS KMS 콘솔](https://console.aws.amazon.com/kms) 또는 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 작업을 사용하여 계정 및 리전의 KMS 키에 대한 상세한 정보에 액세스하고 나열할 수 있습니다.
다음 절차에서는 키 ID, 키 사양, 키 사용 등과 같은 KMS 키 세부 정보에 액세스하는 방법을 보여줍니다.
## AWS KMS 콘솔 사용
각 KMS 키의 세부 정보 페이지에는 KMS 키의 속성이 표시됩니다. 세부 정보는 KMS 키의 종류에 따라 약간 다릅니다.
KMS 키에 대한 자세한 정보를 표시하려면 **AWS 관리형 키 ** 또는 **고객 관리형 키** 페이지에서 KMS 키의 별칭 또는 키 ID를 선택합니다.
KMS 키의 세부 정보 페이지에는 KMS 키의 기본 속성을 표시하는 **일반 구성** 섹션이 있습니다. 여기에는 **키 정책**, **암호화 구성**, **태그**, **키 구성 요소 및 교체**(자동 또는 온디맨드 교체를 지원하는 KMS 키의 경우), **지역성**(다중 리전 키의 경우), **퍼블릭 키**(비대칭 KMS 키의 경우)처럼 KMS 키의 속성을 확인하고 수정할 수 있는 탭도 포함되어 있습니다.
**참고**
AWS KMS 콘솔에는 계정 및 리전에서 [볼 수 있는 권한이](customer-managed-policies.md#iam-policy-example-read-only-console) 있는 KMS 키가 표시됩니다. 다른의 KMS 키는 보기, 관리 및 사용할 권한이 있더라도 콘솔에 표시되지 AWS 계정 않습니다. 다른 계정의 KMS 키를 보려면 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 작업을 사용합니다.
KMS 키의 키 세부 정보 페이지로 이동
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
1. 해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 **고객 관리형 키**를 선택합니다. 가 AWS 자동으로 생성하고 관리하는 계정의 키를 보려면 탐색 창에서 **AWS 관리형 키를** 선택합니다.
1. 키 세부 정보 페이지를 열려면 키 테이블에서 KMS 키의 키 ID 또는 별칭을 선택합니다.
KMS 키에 여러 별칭이 있는 경우 별칭 요약(***n*개 이상**)이 별칭 중 하나의 이름 옆에 나타납니다. 별칭 요약을 선택하면 키 세부 정보 페이지의 **별칭** 탭으로 바로 이동합니다.
![\[AWS KMS고객 관리형 키 details showing general and cryptographic configurations.\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/console-key-detail-view-symmetric-sm.png)
다음 목록에서는 탭의 필드를 포함하여 세부 정보 표시의 필드에 대해 설명합니다. 이러한 필드 중 일부는 테이블 표시의 열로 사용할 수도 있습니다.
**별칭**
위치: 별칭 탭
KMS 키의 기억하기 쉬운 이름입니다. 별칭을 사용하여 콘솔 및 일부 AWS KMS APIs. 자세한 내용은 [의 별칭 AWS KMS](kms-alias.md)을 참조하세요.
**별칭** 탭에는 AWS 계정 및 리전의 KMS 키와 연결된 모든 별칭이 표시됩니다.
**ARN**
위치: 일반 구성 섹션
KMS 키의 Amazon 리소스 이름(ARN)입니다. 이 값은 KMS 키를 고유하게 식별합니다. AWS KMS API 작업에서 KMS 키를 식별하는 데 사용할 수 있습니다.
**연결 상태**
[사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)가 백업 키 스토어에 연결되었는지 여부를 나타냅니다. 이 필드는 KMS 키가 사용자 지정 키 스토어에서 생성된 경우에만 나타납니다.
이 필드의 값에 대한 자세한 내용은AWS KMS API 참조의** [ConnectionState](https://docs.aws.amazon.com/kms/latest/APIReference/API_CustomKeyStoresListEntry.html#KMS-Type-CustomKeyStoresListEntry-ConnectionState)를 참조하세요.
**Creation(생성) 날짜**
위치: 일반 구성 섹션
KMS 키를 생성한 날짜와 시간입니다. 이 값은 디바이스의 로컬 시간으로 표시됩니다. 시간대는 리전에 의존하지 않습니다.
**만료**와 달리 생성은 키 구성 요소가 아니라 KMS 키만 참조합니다.
**CloudHSM 클러스터 ID**
위치: 암호화 구성 탭
KMS 키의 키 구성 요소가 포함된 클러스터의 AWS CloudHSM 클러스터 ID입니다. 이 필드는 KMS 키가 [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)에서 생성된 경우에만 나타납니다.
CloudHSM 클러스터 ID를 선택하면 AWS CloudHSM 콘솔에서 **클러스터 페이지가** 열립니다.
**현재 키 구성 요소**
위치: 일반 구성 섹션
오리진이 `AWS_KMS`인 대칭 암호화 키는 자동 및 온디맨드 교체를 모두 지원합니다. `EXTERNAL` 오리진이 있는 대칭 암호화 키는 온디맨드 교체를 지원합니다. 이러한 키에는 다중 키 구성 요소가 있을 수 있습니다. 가장 최근에 교체된 키 구성 요소는 암호화와 복호화에 모두 사용할 수 있습니다. 이 키 구성 요소는 현재 키 구성 요소로 식별됩니다. 나머지 키 구성 요소는 복호화에만 사용할 수 있습니다. KMS 키의 자동 또는 온디맨드 교체는 현재 키 구성 요소를 변경합니다.
**사용자 지정 키 스토어 ID**
위치: 암호화 구성 탭
KMS 키가 포함된 [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)의 ID입니다. 이 필드는 KMS 키가 사용자 지정 키 스토어에서 생성된 경우에만 나타납니다.
사용자 지정 키 스토어 ID를 선택하면 AWS KMS 콘솔에서 **사용자 지정 키 스토어** 페이지가 열립니다.
**사용자 지정 키 스토어 이름**
위치: 암호화 구성 탭
KMS 키가 포함된 [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)의 이름입니다. 이 필드는 KMS 키가 사용자 지정 키 스토어에서 생성된 경우에만 나타납니다.
**사용자 지정 키 스토어 유형**
위치: 암호화 구성 탭
사용자 지정 키 스토어가 [AWS CloudHSM 키 스토어](keystore-cloudhsm.md)인지 [외부 키 스토어](keystore-external.md)인지를 나타냅니다. 이 필드는 KMS 키가 [사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)에서 생성된 경우에만 나타납니다.
**설명**
위치: 일반 구성 섹션
작성 및 편집할 수 있는 KMS 키에 대한 간략한 설명(선택 사항)입니다. 고객 관리형 키에 대한 설명을 추가하거나 업데이트하려면 **일반 구성(General Configuration)** 위에서 **편집(Edit)**을 선택합니다.
**암호화 알고리즘**
위치: 암호화 구성 탭
AWS KMS의 KMS 키와 함께 사용할 수 있는 암호화 알고리즘을 나열합니다. 이 필드는 **키 유형**이 **비대칭**이고 **키 사용**이 **암호화 및 암호 해독**인 경우에만 표시됩니다. 에서 AWS KMS 지원하는 암호화 알고리즘에 대한 자세한 내용은 [SYMMETRIC\$1DEFAULT 키 사양](symm-asymm-choose-key-spec.md#symmetric-cmks) 및 섹션을 참조하세요[암호화 및 해독을 위한 RSA 키 사양](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption).
**만료 날짜**
위치: 키 구성 요소 탭
KMS 키의 키 구성 요소가 만료되는 날짜 및 시간입니다. 이 필드는 [가져온 키 구성 요소](importing-keys.md)가 있는 KMS 키, 즉 **오리진(Origin)**이 **외부(External)**이고 KMS 키에 만료되는 키 구성 요소가 있는 경우에만 표시됩니다. 대칭 암호화 키에는 여러 키 구성 요소가 연결될 수 있습니다. 이러한 키의 경우 이 필드는 연결된 키 구성 요소 중 하나가 만료되는 가장 이른 날짜와 시간을 나타냅니다.
**외부 키 ID**
위치: 암호화 구성 탭
[외부 키 스토어](keystore-external.md)의 KMS 키와 연결된 [외부 키](keystore-external.md#concept-external-key)의 ID입니다. 이 필드는 외부 키 스토어의 KMS 키에만 표시됩니다.
**외부 키 상태**
위치: 암호화 구성 탭
[외부 키 스토어 프록시](keystore-external.md#concept-xks-proxy)가 KMS 키와 연결된 [외부 키](keystore-external.md#concept-external-key)에 대해 보고한 가장 최근 상태입니다. 이 필드는 외부 키 스토어의 KMS 키에만 표시됩니다.
**외부 키 사용**
위치: 암호화 구성 탭
KMS 키와 연결된 [외부 키](keystore-external.md#concept-external-key)에서 활성화된 암호화 작업입니다. 이 필드는 외부 키 스토어의 KMS 키에만 표시됩니다.
**키 정책**
위치: 키 정책 탭
[IAM 정책](iam-policies.md) 및 [권한 부여](grants.md)와 함께 KMS 키에 대한 액세스를 제어합니다. 모든 KMS 키에는 하나의 키 정책이 있습니다. 이것이 유일한 필수 권한 부여 요소입니다. 고객 관리형 키의 키 정책을 변경하려면 **키 정책(Key policy)** 탭에서 **편집(Edit)**을 선택합니다. 자세한 내용은 [의 키 정책 AWS KMS](key-policies.md)을 참조하세요.
**키 구성 요소 및 교체**
위치: 키 구성 요소 및 교체 탭
이 탭은 (자동 교체와 온디맨드 교체를 모두 지원하는) 대칭 암호화 키 중 오리진이 `AWS_KMS`인 경우와 (온디맨드 교체를 지원하는) 단일 리전 대칭 암호화 키 중 오리진이 `EXTERNAL`인 경우에만 표시됩니다.
탭에는 세 개의 패널이 있습니다.
자동 교체: [고객 관리형 KMS 키](concepts.md#customer-mgn-key)에서 키 구성 요소의 [자동 교체](rotate-keys.md)를 활성화 및 비활성화합니다. [고객 관리형 키](concepts.md#customer-mgn-key)의 키 교체 상태를 변경하려면 확인란을 사용합니다. [AWS 관리형 키](concepts.md#aws-managed-key)에서 키 구성 요소의 교체를 활성화하거나 비활성화할 수 없습니다. AWS 관리형 키 는 매년 자동으로 교체됩니다.
온디맨드 교체: [고객 관리형 키](concepts.md#customer-mgn-key)의 키 구성 요소에 대한 [온디맨드 교체](rotate-keys.md)를 시작할 수 있습니다. 가져온 키의 경우 **지금 교체** 옵션을 사용하려면 가져온 키 구성 요소가 이미 `PENDING_ROTATION` 상태여야 합니다.
키 구성 요소: KMS 키와 연관된 모든 키 구성 요소가 나열됩니다. 각 키 구성 요소에는 고유 식별자가 있으며, 해당 행에는 KMS에서 사용 가능해진 교체 날짜 등 키 구성 요소에 대한 추가 정보가 표시됩니다. 가져온 키의 경우 각 행에는 해당 키 구성 요소를 삭제하거나 KMS 키로 다시 가져오는 데 사용할 수 있는 **작업** 메뉴도 있습니다.
**키 사양**
위치: 암호화 구성 탭
KMS 키의 키 구성 요소 유형입니다.는 대칭 암호화 KMS 키(SYMMETRIC\$1DEFAULT), 길이가 다른 HMAC KMS 키, 길이가 다른 RSA 키에 대한 KMS 키, 곡선이 다른 타원 곡선 키를 AWS KMS 지원합니다. 자세한 내용은 [Key spec](create-keys.md#key-spec)을 참조하세요.
**키 유형**
위치: 암호화 구성 탭
KMS 키가 **대칭** 또는 **비대칭**인지 여부를 나타냅니다.
**키 사용**
위치: 암호화 구성 탭
KMS 키를 **암호화 및 해독(Encrypt and decrypt)**, **서명 및 확인(Sign and verify)** 또는 **MAC 생성 및 확인(Generate and verify MAC)**에 사용할 수 있는지 여부를 나타냅니다. 자세한 내용은 [Key usage](create-keys.md#key-usage)을 참조하세요.
**오리진(Origin)**
위치: 암호화 구성 탭
KMS 키에 대한 키 구성 요소의 출처입니다. 유효값은 다음과 같습니다.
+ AWS KMS 가 생성하는 키 구성 요소의 경우 **AWS KMS**
+ [AWS CloudHSM 키 스토어](keystore-cloudhsm.md)의 KMS 키의 경우 **AWS CloudHSM**
+ [가져온 키 구성 요소](importing-keys.md)의 경우 **External**(외부)(BYOK)
+ [외부 키 스토어](keystore-external.md)의 KMS 키의 경우 **External key store**(외부 키 스토어)
**MAC 알고리즘**
위치: 암호화 구성 탭
AWS KMS의 HMAC KMS 키와 함께 사용할 수 있는 MAC 알고리즘을 나열합니다. 이 필드는 **키 사양(Key spec)**이 HMAC 키 사양(HMAC\$1\$1)인 경우에만 나타납니다. AWS KMS 가 지원하는 MAC 알고리즘에 대한 자세한 내용은 [HMAC KMS 키의 키 사양](symm-asymm-choose-key-spec.md#hmac-key-specs) 섹션을 참조하세요.
**프라이머리 키**
위치: 리전 구분 탭
이 KMS 키가 [다중 리전 기본 키](multi-region-keys-overview.md#mrk-primary-key)임을 나타냅니다. 권한이 있는 사용자는 이 섹션을 사용하여 다른 관련 다중 리전 키로 [기본 키를 변경](multi-region-update.md)할 수 있습니다. 이 필드는 KMS 키가 다중 리전 기본 키인 경우에만 나타납니다.
**퍼블릭 키**
위치: 공개 키 탭
비대칭 KMS 키의 퍼블릭 키를 표시합니다. 권한이 부여된 사용자는 이 탭을 사용하여 [퍼블릭 키를 복사하고 다운로드](download-public-key.md)할 수 있습니다.
**분류: 리전 구분**
위치: 일반 구성 섹션 및 리전 구분(Regionality) 탭
KMS 키가 단일 리전 키, [다중 리전 기본 키](multi-region-keys-overview.md#mrk-primary-key) 또는 [다중 리전 복제본 키](multi-region-keys-overview.md#mrk-replica-key)인지 여부를 나타냅니다. 이 필드는 KMS 키가 다중 리전 키인 경우에만 나타납니다.
**관련 다중 리전 키**
위치: 리전 구분 탭
현재 KMS 키를 제외한 모든 관련 [다중 리전 기본 및 복제본 키](multi-region-keys-overview.md)를 표시합니다. 이 필드는 KMS 키가 다중 리전 키인 경우에만 나타납니다.
기본 키의 **관련 다중 리전 키** 섹션에서 권한 부여된 사용자는 [새 복제본 키를 생성](multi-region-keys-replicate.md)할 수 있습니다.
**복제본 키**
위치: 리전 구분 탭
이 KMS 키가 [다중 리전 복제본 키](multi-region-keys-overview.md#mrk-replica-key)임을 나타냅니다. 이 필드는 KMS 키가 다중 리전 복제본 키인 경우에만 나타납니다.
**서명 알고리즘**
위치: 암호화 구성 탭
AWS KMS의 KMS 키와 함께 사용할 수 있는 서명 알고리즘을 나열합니다. 이 필드는 **키 유형**이 **비대칭**이고 **키 사용**이 **서명 및 확인**인 경우에만 표시됩니다. 에서 AWS KMS 지원하는 서명 알고리즘에 대한 자세한 내용은 [서명 및 확인을 위한 RSA 키 사양](symm-asymm-choose-key-spec.md#key-spec-rsa-sign) 및 섹션을 참조하세요[타원 곡선 키 사양](symm-asymm-choose-key-spec.md#key-spec-ecc).
**Status**
위치: 일반 구성 섹션
KMS 키의 키 상태입니다. KMS 키는 상태가 [활성화됨(Enabled)](kms-cryptography.md#cryptographic-operations)인 경우에만 **암호화 작업(cryptographic operations)**에 사용할 수 있습니다. 각 KMS 키 상태와 KMS 키에서 실행할 수 있는 작업에 미치는 영향에 대한 자세한 설명은 [키의 AWS KMS 키 상태](key-state.md) 섹션을 참조하십시오.
**Tags**
위치: 태그 탭
KMS 키를 설명하는 키-값 페어(선택 사항)입니다. KMS 키의 태그를 추가하거나 변경하려면 **태그** 탭에서 **편집**을 선택합니다.
AWS 리소스에 태그를 추가하면 태그별로 집계된 사용량 및 비용이 포함된 비용 할당 보고서가 AWS 생성됩니다. KMS 키에 대한 액세스를 제어하는 데에도 태그를 사용할 수 있습니다. KMS 키 태그 지정에 대한 자세한 내용은 [의 태그 AWS KMS](tagging-keys.md) 및 [에 대한 ABAC AWS KMS](abac.md) 섹션을 참조하십시오.
## AWS KMS API 사용
[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 작업은 지정된 KMS 키에 관한 세부 정보를 반환합니다. KMS 키를 식별하려면 [키 ID](concepts.md#key-id-key-id), [키 ARN](concepts.md#key-id-key-ARN), [별칭 이름](concepts.md#key-id-alias-name) 또는 [별칭 ARN](concepts.md#key-id-alias-ARN)을 사용합니다.
호출자의 계정과 리전에 있는 KMS 키만 표시하는 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 작업과 달리, 권한이 있는 사용자는 `DescribeKey` 작업을 사용하여 다른 계정의 KMS 키에 대한 세부 정보를 얻을 수 있습니다.
**참고**
`DescribeKey` 응답에는 `KeySpec` 및 `CustomerMasterKeySpec` 멤버가 모두 포함됩니다. `CustomerMasterKeySpec` 멤버는 더 이상 사용되지 않습니다.
예를 들면, `DescribeKey` 호출은 대칭 암호화 KMS 키에 관한 정보를 반환합니다. 응답에 포함되는 필드는 [AWS KMS key 사양](create-keys.md#key-spec), [키 상태](key-state.md) 및 [키 구성 요소 오리진(key material origin)](create-keys.md#key-origin)에 따라 달라집니다. 다양한 프로그래밍 언어의 예는 [AWS SDK 또는 CLI와 `DescribeKey` 함께 사용](example_kms_DescribeKey_section.md) 섹션을 참조하십시오.
```
$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1499988169.234,
"MultiRegion": false,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"CurrentKeyMaterialId": "123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0"
}
}
```
이 예제에서는 서명 및 확인에 사용되는 비대칭 KMS 키에 대한 `DescribeKey` 작업을 호출합니다. 응답에는 AWS KMS 가 이 KMS 키에 대해 지원하는 서명 알고리즘이 포함됩니다.
```
$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321
{
"KeyMetadata": {
"KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"Origin": "AWS_KMS",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
"KeyState": "Enabled",
"KeyUsage": "SIGN_VERIFY",
"CreationDate": 1569973196.214,
"Description": "",
"KeySpec": "ECC_NIST_P521",
"CustomerMasterKeySpec": "ECC_NIST_P521",
"AWSAccountId": "111122223333",
"Enabled": true,
"MultiRegion": false,
"KeyManager": "CUSTOMER",
"SigningAlgorithms": [
"ECDSA_SHA_512"
]
}
}
```
# 다양한 키 유형 식별
다음 주제에서는 AWS KMS 콘솔 및 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 응답에서 다양한 키 유형을 식별하는 방법을 설명합니다.
KMS 키에 대한 세부 정보 페이지의 **암호화 구성** 탭으로 이동하는 데 도움이 필요하면 [KMS 키 세부 정보 액세스 및 나열](finding-keys.md) 단원을 참조하세요.
**Topics**
+ [비대칭 KMS 키 식별](#identify-asymm-keys)
+ [HMAC KMS 키 식별](#hmac-view)
+ [다중 리전 KMS 키 식별](#multi-region-keys-view)
+ [가져온 키 구성 요소로 KMS 키 식별](#identify-imported-keys)
+ [키 스토어에서 KMS AWS CloudHSM 키 식별](#identify-key-hsm-keystore)
+ [외부 키 저장소에서 KMS 키 식별](#view-xks-key)
## 비대칭 KMS 키 식별
** AWS KMS 콘솔에서**
**고객 관리형 키 테이블**의 **키 유형** 열에는 각 KMS 키가 대칭인지 또는 비대칭인지 여부가 표시됩니다. **키 유형** 값을 기준으로 테이블을 필터링하여 비대칭 KMS 키만 표시할 수 있습니다. 자세한 내용은 [KMS 키 정렬 및 필터링](viewing-console-customize.md#viewing-console-filter)을 참조하세요.
KMS 키의 세부 정보 페이지에 있는 **암호화 구성** 탭에는 키가 대칭인지 또는 비대칭인지 여부를 나타내는 **키 유형**이 표시됩니다. 또한 비대칭 KMS 키가 암호화 및 복호화, 서명 및 확인 또는 공유 비밀 도출에 사용되는지 여부를 나타내는 **키 사용**도 표시됩니다.
**DescribeKey 응답에서**
비대칭 KMS 키에서 `DescribeKey` 작업을 직접 호출하면 응답에 `KeySpec` 및 `KeyUsage` 값이 포함되며, 이러한 값은 KMS 키가 대칭인지 또는 비대칭인지 여부를 결정하는 데 사용할 수 있습니다.
`KeySpec` 값이 `SYMMETRIC_DEFAULT`인 경우 키는 대칭 암호화 KMS 키입니다. 비대칭 키 사양에 대한 자세한 내용은 [키 사양 참조](symm-asymm-choose-key-spec.md) 단원을 참조하세요.
`KeyUsage` 값이 `SIGN_VERIFY` 또는 `KEY_AGREEMENT`인 경우 키는 비대칭 KMS 키입니다.
`DescribeKey` 작업은 비대칭 KMS 키에 대한 다음 세부 정보도 반환합니다.
+ `KeyUsage` 값이 `ENCRYPT_DECRYPT`인 비대칭 KMS 키의 경우 이 작업은 키에 대한 유효한 암호화 알고리즘을 나열하는 `EncryptionAlgorithms`를 반환합니다.
+ `KeyUsage` 값이 `SIGN_VERIFY`인 비대칭 KMS 키의 경우 작업은 키에 대한 유효한 서명 알고리즘을 나열하는 `SigningAlgorithms`를 반환합니다.
+ `KeyUsage` 값이 `KEY_AGREEMENT`인 비대칭 KMS 키의 경우 작업은 키에 대한 유효한 키 계약 알고리즘을 나열하는 `KeyAgreementAlgorithms`를 반환합니다.
비대칭 KMS 키에 대한 자세한 내용은 [의 비대칭 키 AWS KMS](symmetric-asymmetric.md) 단원을 참조하세요.
## HMAC KMS 키 식별
** AWS KMS 콘솔에서**
HMAC KMS 키는 **고객 관리형 키** 테이블에 포함되지만 HMAC 키를 식별하는 키 사양 또는 키 사용 값을 기준으로 이 테이블을 정렬하거나 필터링할 수 없습니다. HMAC 키를 더 쉽게 찾으려면 HMAC 키에 고유 별칭이나 태그를 할당합니다. 그런 다음 별칭이나 태그를 기준으로 정렬하거나 필터링할 수 있습니다.
KMS 키의 세부 정보 페이지에 있는 **암호화 구성** 탭에는 키가 대칭인지 또는 비대칭인지 여부를 나타내는 **키 유형**이 표시됩니다. HMAC KMS 키는 대칭입니다. **암호화 구성** 탭에는 **키 사용**도 표시됩니다. HMAC KMS 키의 경우 주요 사용 값은 항상 **MAC 생성 및 확인**입니다.
**DescribeKey 응답에서**
HMAC KMS 키에서 `DescribeKey` 작업을 직접 호출하면 응답에 `KeySpec` 및 `KeyUsage` 값이 포함됩니다. HMAC KMS 키의 경우 키 사용 값은 항상 `GENERATE_VERIFY_MAC`이고 키 사양 값은 항상 `HMAC_`로 시작합니다.
KMS 키에 대한 자세한 내용은 [의 HMAC 키 AWS KMS](hmac.md) 단원을 참조하세요.
## 다중 리전 KMS 키 식별
** AWS KMS 콘솔에서**
**고객 관리형 키** 테이블에는 선택한 리전의 KMS 키만 표시합니다. 선택한 리전에서 다중 리전 기본 키 및 복제본 키를 볼 수 있습니다. AWS 리전을 변경하려면 콘솔의 오른쪽 상단에 있는 리전 선택기를 사용합니다.
**고객 관리형 키** 테이블에서 다중 리전 키를 더 쉽게 식별할 수 있도록 테이블에 **리전 특성** 열을 추가합니다. 도움말은 [KMS 키 테이블 사용자 지정](viewing-console-customize.md#console-customize-tables)를 참조하십시오.
다중 리전 KMS 키의 세부 정보 페이지에는 **리전 특성** 탭이 포함되어 있습니다. **리전 구분(Regionality)** 탭에는 기본 리전 변경 및 새 복제본 키 만들기 버튼이 포함됩니다. 복제본 키의 리전 구분(Regionality) 탭에는 버튼이 없습니다. **관련 다중 리전 키** 섹션에는 현재 키와 관련된 모든 다중 리전 키가 나열됩니다. 현재 키가 복제본 키인 경우 이 목록에는 기본 키가 포함됩니다.
관련 다중 리전 키 테이블에서 **관련 다중 리전 키를** 선택하면 AWS KMS 콘솔이 선택한 키의 리전으로 변경되고 키의 세부 정보 페이지가 열립니다. 예를 들어 아래의 관련 다중 `sa-east-1` 리전 키 섹션에서 리전의 복제본 키를 선택하면 AWS KMS 콘솔이 `sa-east-1` 리전으로 변경되어 해당 복제본 키의 세부 정보 페이지가 표시됩니다. **** 이렇게 하면 복제본 키의 별칭 또는 키 정책을 볼 수 있습니다. 리전을 다시 변경하려면 페이지의 오른쪽 위 모서리에 있는 리전 선택기를 사용합니다.
**DescribeKey 응답에서**
기본적으로 AWS KMS API 작업은 리전 작업이며 현재 또는 지정된 리전의 리소스만 반환합니다. 그러나 다중 리전 KMS 키에서 `DescribeKey` 작업을 호출하면 응답에는 `MultiRegionConfiguration` 요소의 다른 AWS 리전에 있는 모든 관련 다중 리전 키가 포함됩니다.
다중 리전 KMS 키에 대한 자세한 내용은 [의 다중 리전 키 AWS KMS](multi-region-keys-overview.md) 단원을 참조하세요.
## 가져온 키 구성 요소로 KMS 키 식별
** AWS KMS 콘솔에서**
**고객 관리형 키** 테이블에서 가져온 키 구성 요소를 사용하여 KMS 키를 더 쉽게 식별할 수 있도록 테이블에 **오리진** 열을 추가합니다. **오리진** 열에서 **외부(키 구성 요소 가져오기)** 오리진 속성 값으로 KMS 키를 쉽게 식별할 수 있습니다. 도움말은 [KMS 키 테이블 사용자 지정](viewing-console-customize.md#console-customize-tables)를 참조하십시오.
KMS 키의 세부 정보 페이지에 있는 **암호화 구성** 탭에는 KMS 키에 대한 키 구성 요소의 소스를 식별하는 **오리진**이 표시됩니다. 가져온 키 구성 요소가 있는 KMS 키의 경우 오리진 값은 항상 **외부(키 구성 요소 가져오기)**입니다. 세부 정보 페이지에는 가져온 키 구성 요소에 대한 자세한 정보를 제공하는 **키 구성 요소** 탭도 포함되어 있습니다. `EXTERNAL` 오리진이 있는 대칭 암호화 키는 온디맨드 교체를 지원하며 여러 키 구성 요소를 연결할 수 있습니다. 이러한 키의 경우 탭에 **키 구성 요소 및 교체** 레이블이 지정됩니다.
**DescribeKey 응답에서**
가져온 키 구성 요소가 있는 KMS 키에서 `DescribeKey` 작업을 직접 호출하면 응답에 `Origin`, `ExpirationModel` 및 `ValidTo` 값이 포함됩니다. 가져온 키 구성 요소가 있는 KMS 키의 경우 오리진 값은 항상 `EXTERNAL`입니다. `ExpirationModel` 값은 키 구성 요소가 만료되도록 설정되었는지 여부를 나타내고 `ValidTo` 값은 키 구성 요소가 만료되는 시기를 나타냅니다. 다중 키 구성 요소가 키에 연결된 경우, `ValidTo` 값은 모든 키 구성 요소(보류 중인 교체 키 구성 요소를 제외) 중 가장 이른 만료 시간을 나타내며, 이러한 키 구성 요소 중 어느 것도 만료가 설정되지 않은 경우에만 `ExpirationModel` 값이 `DOES_NOT_EXPIRE`로 설정됩니다. 자세한 내용은 [만료 시간 설정(선택 사항)](importing-keys-import-key-material.md#importing-keys-expiration) 단원을 참조하십시오.
가져온 키 구성 요소가 있는 KMS 키에 대한 자세한 내용은 [키의 AWS KMS 키 구성 요소 가져오기](importing-keys.md) 단원을 참조하세요.
## 키 스토어에서 KMS AWS CloudHSM 키 식별
** AWS KMS 콘솔에서**
**고객 관리형 키** 테이블의 AWS CloudHSM 키 스토어에서 KMS 키를 더 쉽게 식별할 수 있도록 테이블에 **오**리진 열을 추가합니다. **오리진(Origin)** 열에서 오리진 속성 값이 **AWS CloudHSM**인 KMS 키를 쉽게 식별할 수 있습니다. 도움말은 [KMS 키 테이블 사용자 지정](viewing-console-customize.md#console-customize-tables)를 참조하십시오.
KMS 키의 세부 정보 페이지에 있는 **암호화 구성** 탭에는 KMS 키에 대한 키 구성 요소의 소스를 식별하는 **오리진**이 표시됩니다. AWS CloudHSM 키 스토어의 KMS 키의 경우 오리진 값은 항상 입니다**AWS CloudHSM**.
AWS CloudHSM 키 스토어의 KMS 키의 경우 **암호화 구성** 탭에는 KMS **키와 연결된 키 스토어 및 클러스터에 대한 정보를 제공하는 추가 섹션인 사용자 지정** 키 스토어가 포함되어 있습니다. AWS CloudHSM AWS CloudHSM
**DescribeKey 응답에서**
AWS CloudHSM 키 저장소의 KMS 키에서 `DescribeKey` 작업을 직접 호출하면 응답에 키 구성 요소의 소스를 식별하는 `Origin`이 포함됩니다. 키 스토어의 KMS AWS CloudHSM 키의 경우 오리진 값은 항상 입니다`AWS_CLOUDHSM`. 또한이 작업은 AWS CloudHSM 키 스토어의 KMS 키에 대해 다음과 같은 특수 필드를 반환합니다.
+ `CloudHsmClusterId`
+ `CustomKeyStoreId`
AWS CloudHSM 키 스토어에 대한 자세한 내용은 섹션을 참조하세요[AWS CloudHSM 키 스토어](keystore-cloudhsm.md).
## 외부 키 저장소에서 KMS 키 식별
** AWS KMS 콘솔에서**
**고객 관리형 키** 테이블의 외부 키 저장소에서 KMS 키를 더 쉽게 식별할 수 있도록 테이블에 **오리진** 열을 추가합니다. **오리진** 열에서 오리진 속성 값이 **외부 키 저장소**인 KMS 키를 쉽게 식별할 수 있습니다. 도움말은 [KMS 키 테이블 사용자 지정](viewing-console-customize.md#console-customize-tables)를 참조하십시오.
KMS 키의 세부 정보 페이지에 있는 **암호화 구성** 탭에는 KMS 키에 대한 키 구성 요소의 소스를 식별하는 **오리진**이 표시됩니다. 예를 들어 외부 키 저장소에 있는 KMS 키의 오리진 값은 **외부 키 저장소**입니다.
외부 키 저장소에 있는 KMS 키의 경우 **암호화 구성** 탭에는 **사용자 지정 키 저장소** 및 **외부 키**라는 두 개의 추가 섹션이 있습니다. **사용자 지정 키 저장소** 테이블은 KMS 키와 연결된 외부 키 저장소에 대한 정보를 제공합니다. **외부 키** 테이블은 외부 키 저장소의 KMS 키에 대해서만 AWS KMS 콘솔에 나타납니다. KMS 키와 연결된 외부 키에 대한 정보를 제공합니다. [*외부 키*](keystore-external.md#concept-external-key)는 외부 키 스토어의 KMS 키에 대한 키 구성 요소 역할을 AWS 하는 외부의 암호화 키입니다. KMS 키로 암호화하거나 복호화하면 [외부 키 관리자](keystore-external.md#concept-ekm)가 지정된 외부 키를 사용하여 작업을 수행합니다.
다음 값이 **External key**(외부 키) 섹션에 나타납니다.
**외부 키 ID**
외부 키 관리자의 외부 키 식별자입니다. 외부 키 스토어 프록시가 외부 키를 식별하는 데 사용하는 값입니다. KMS 키를 생성할 때 외부 키의 ID를 지정하며 변경할 수 없습니다. KMS 키를 생성하는 데 사용한 외부 키 ID 값이 변경되거나 무효화되면 [KMS 키 삭제를 예약](deleting-keys.md)하고 올바른 외부 키 ID 값으로 [새 KMS 키를 생성](create-xks-keys.md)해야 합니다.
**DescribeKey 응답에서**
외부 키 저장소의 KMS 키에서 `DescribeKey` 작업을 직접 호출하면 응답에 키 구성 요소의 소스를 식별하는 `Origin`이 포함됩니다. 키 스토어의 KMS AWS CloudHSM 키의 경우 오리진 값은 항상 입니다`EXTERNAL_KEY_STORE`. 이 작업은 KMS 키와 연결된 외부 키 저장소를 식별하는 `CustomKeyStoreId` 요소도 반환합니다.
외부 키 저장소에 대한 자세한 내용은 [외부 키 스토어](keystore-external.md) 단원을 참조하세요.
# 콘솔 보기 사용자 지정
AWS KMS 콘솔 보기를 사용자 지정하여 KMS 키를 더 쉽게 찾을 수 있습니다. **AWS 관리형 키** 및 **고객 관리형 키** 페이지에 표시되는 테이블을 사용자 지정하여 가장 필요한 정보를 표시하거나 테이블에 반환된 KMS 키를 정렬하고 필터링할 수 있습니다.
**Topics**
+ [KMS 키 정렬 및 필터링](#viewing-console-filter)
+ [KMS 키 테이블 사용자 지정](#console-customize-tables)
## KMS 키 정렬 및 필터링
콘솔에서 KMS 키를 더 쉽게 찾을 수 있도록 키 테이블을 정렬하고 필터링할 수 있습니다.
**정렬**
KMS 키를 열 값에 따라 오름차순 또는 내림차순으로 정렬할 수 있습니다. 이 기능은 현재 테이블 페이지에 표시되지 않더라도 테이블의 모든 KMS 키를 정렬합니다.
정렬 가능한 열은 열 이름 옆에 화살표가 표시됩니다. **AWS 관리형 키** 페이지에서는 **별칭** 또는 **키 ID**를 기준으로 정렬할 수 있습니다. **고객 관리형 키** 페이지에서는 **별칭**, **키 ID** 또는 **키 유형**을 기준으로 정렬할 수 있습니다.
오름차순으로 정렬하려면 화살표가 위쪽을 가리키도록 열 머리글을 선택합니다. 내림차순으로 정렬하려면 화살표가 아래쪽을 가리키도록 열 머리글을 선택합니다. 열은 한 번에 하나만 정렬할 수 있습니다.
예를 들어 기본값 별칭 대신 키 ID를 기준으로 KMS 키를 오름차순으로 정렬할 수 있습니다.
![\[AWS 관리형 키 interface showing sortable columns for Aliases and Key ID.\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/console-sort.png)
**고객 관리형 키** 페이지에서 KMS 키를 **키 유형**을 기준으로 오름차순으로 정렬하면 모든 비대칭 키가 모든 대칭 키 앞에 표시됩니다.
**필터링**
속성 값 또는 태그별로 KMS 키를 필터링할 수 있습니다. 필터는 현재 테이블 페이지에 표시되지 않더라도 테이블의 모든 KMS 키에 적용됩니다. 필터는 대소문자를 구분하지 않습니다.
필터링 가능한 속성이 필터 상자에 나열됩니다. **AWS 관리형 키 ** 페이지에서는 별칭 및 키 ID를 기준으로 필터링할 수 있습니다. **고객 관리형 키** 페이지에서는 별칭, 키 ID 및 키 유형 속성을 기준으로, 그리고 태그를 기준으로 필터링할 수 있습니다.
+ **AWS 관리형 키** 페이지에서는 별칭 및 키 ID를 기준으로 필터링할 수 있습니다.
+ **고객 관리형 키** 페이지에서는 태그를 기준으로 또는 별칭, 키 ID, 키 유형 또는 리전 구분 속성을 기준으로 필터링할 수 있습니다.
속성 값을 기준으로 필터링하려면 필터를 선택하고 속성 이름을 선택한 다음 실제 속성 값 목록에서 선택합니다. 태그별로 필터링하려면 태그 키를 선택한 다음 실제 태그 값 목록에서 선택합니다. 속성 또는 태그 키를 선택한 후 속성 값이나 태그 값의 전부 또는 일부를 입력할 수도 있습니다. 선택하기 전에 결과를 미리 볼 수 있습니다.
예를 들어 별칭 이름에 `aws/e`가 포함된 KMS 키를 표시하려면 필터 상자를 선택하고 **별칭**을 선택하고, `aws/e`를 입력한 다음 `Enter` 또는 `Return` 키를 눌러 필터를 추가합니다.
![\[Search box for AWS 관리형 키 with Aliases filter and example entries.\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/filter-alias.png)
### 제안된 KMS 키 테이블 필터
**비대칭 KMS 키에 대한 필터**
**고객 관리형 키** 페이지에 비대칭 KMS 키만 표시하려면 필터 상자를 클릭하고, **키 유형(Key type)**을 선택한 후, **키 유형: 비대칭(Key type: Asymmetric)**을 선택합니다. **비대칭** 옵션은 테이블에 비대칭 KMS 키가 있는 경우에만 나타납니다.
**다중 리전 키에 대한 필터**
다중 영역 키만 표시하려면 **고객 관리형 키** 페이지에서 필터 상자를 선택하고 **리전 구분(Regionality)**을 선택한 다음 **리전 구분: 다중 리전(Regionality: Multi-Region)**을 선택합니다. **다중 리전** 옵션은 테이블에 다중 리전 키가 있는 경우에만 나타납니다.
**태그에 대한 필터**
특정 태그가 있는 KMS 키만 표시하려면 필터 상자를 선택하고 태그 키를 선택한 다음 실제 태그 값 중에서 선택합니다. 태그 값의 전부 또는 일부를 입력할 수도 있습니다.
결과 테이블에는 선택한 태그가 있는 모든 KMS 키가 표시됩니다. 그러나 태그를 표시하지는 않습니다. 태그를 보려면 KMS 키의 키 ID 또는 별칭을 선택하고 세부 정보 페이지에서 **태그(Tags)** 탭을 클릭합니다. **일반 구성** 섹션 아래에 탭이 표시됩니다.
이 필터에는 태그 키와 태그 값이 모두 필요합니다. 태그 키만 입력하거나 값만 입력하여 KMS 키를 찾을 수 없습니다. 태그 키 또는 값의 전체 또는 일부를 기준으로 태그를 필터링하려면 [ListResourceTags](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListResourceTags.html) 작업을 사용하여 태그가 지정된 KMS 키를 가져온 다음 프로그래밍 언어의 필터링 기능을 사용합니다.
**텍스트로 필터링**
텍스트를 검색하려면 필터 상자에 별칭, 키 ID, 키 유형 또는 태그 키의 전부 또는 일부를 입력합니다. 태그 키를 선택한 후 태그 값을 검색할 수 있습니다. 선택하기 전에 결과를 미리 볼 수 있습니다.
예를 들어, 태그 키 또는 필터링 가능한 속성에 `test`가 있는 KMS 키를 표시하려면 필터 상자에 `test`를 입력합니다. 미리 보기에 필터가 선택할 KMS 키가 표시됩니다. 이 경우 `test`는 **별칭** 속성에만 표시됩니다.
## KMS 키 테이블 사용자 지정
의 **AWS 관리형 키** 및 **고객 관리형 키** 페이지에 표시되는 테이블 AWS Management Console 을 필요에 맞게 사용자 지정할 수 있습니다. 테이블 열, AWS KMS keys 각 페이지의 수(**페이지 크기**), 텍스트 줄 바꿈을 선택할 수 있습니다. 선택한 구성은 확인하면 저장되고 페이지를 열 때마다 다시 적용됩니다.
**KMS 키 테이블을 사용자 지정하려면**
1. **AWS 관리형 키** 또는 **고객 관리형 키** 페이지에서 오른쪽 상단의 설정 아이콘(![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/images/console-icon-settings-new.png))을 선택합니다.
1. **기본 설정** 페이지에서 선호하는 설정을 선택한 다음 **확인**을 선택합니다.
특히 스크롤하기 쉬운 디바이스를 주로 사용하는 경우 **페이지 크기** 설정을 사용하여 각 페이지에 표시되는 KMS 키 수를 늘리는 것이 좋습니다.
표시되는 데이터 열은 테이블, 사용자의 직무 역할 및 계정 및 리전의 KMS 키 유형에 따라 다를 수 있습니다. 다음 표에서는 몇 가지 권장 구성을 제공합니다. 열에 대한 설명은 [AWS KMS 콘솔 사용](finding-keys.md#viewing-console-details) 섹션을 참조하십시오.
### 제안된 KMS 키 테이블 구성
KMS 키 테이블에 표시되는 열을 사용자 지정하여 KMS 키에 대해 필요한 정보를 표시할 수 있습니다.
**AWS 관리형 키**
기본적으로 **AWS 관리형 키** 테이블에는 **별칭**, **키 ID** 및 **상태** 열이 표시됩니다. 이러한 열은 대부분의 사용 사례에 이상적입니다.
**대칭 암호화 KMS 키**
AWS KMS가 생성하는 키 구성 요소가 있는 대칭 암호화 KMS 키만 사용하는 경우 **별칭**, **키 ID**, **상태** 및 **생성 날짜** 열이 가장 유용할 것입니다.
**비대칭 KMS 키**
비대칭 KMS 키를 사용하는 경우 **별칭**, **키 ID** 및 **상태** 열 외에 **키 유형**, **키 사양** 및 **키 사용** 열을 추가하는 것이 좋습니다. 이러한 열에는 KMS 키가 대칭 또는 비대칭인지 여부, 키 구성 요소의 유형, KMS 키를 암호화 또는 서명에 사용할 수 있는지 여부가 표시됩니다.
**HMAC KMS 키**
HMAC KMS 키를 사용하는 경우 **별칭**, **키 ID** 및 **상태** 열 외에 **키 사양** 및 **키 사용** 열을 추가하는 것이 좋습니다. 이 열에는 KMS 키가 HMAC 키인지 여부가 표시됩니다. 키 사양 또는 키 사용량별로 KMS 키를 정렬할 수 없으므로 별칭 및 태그를 사용하여 HMAC 키를 식별한 다음 AWS KMS 콘솔의 [필터 기능을](#viewing-console-filter) 사용하여 별칭 또는 태그를 기준으로 필터링합니다.
**가져온 키 구성 요소**
[가져온 키 구성 요소(imported key material)](importing-keys.md)가 있는 KMS 키가 있는 경우 **오리진(Origin)** 및 **만료 날짜(Expiration date)** 열을 추가하는 것이 좋습니다. 이러한 열에는 KMS 키의 키 구성 요소를에서 가져오거나 생성할지 여부와 키 구성 요소가 만료 AWS KMS 되는 시기가 표시됩니다. **생성 날짜(Creation date)** 필드에는 KMS 키가 생성된 날짜(키 구성 요소 없음)가 표시됩니다. 키 구성 요소의 특성은 전혀 반영하지 않습니다.
**사용자 지정 키 스토어**
[사용자 지정 키 스토어](key-store-overview.md#custom-key-store-overview)에 KMS 키가 있는 경우 **Origin**(오리진) 열과 **Custom key store ID**(사용자 지정 키 스토어 ID) 열을 추가하는 것이 좋습니다. 이러한 열은 KMS 키가 사용자 지정 키 스토어에 있음을 보여주고, 사용자 지정 키 스토어 유형을 표시하고, 사용자 지정 키 스토어를 식별합니다.
**다중 리전 키**
[다중 리전 키](multi-region-keys-overview.md)가 있는 경우 **리전 분류(Regionality)** 열을 추가하는 것이 좋습니다 KMS 키가 단일 리전 키, [다중 리전 기본 키](multi-region-keys-overview.md#mrk-primary-key) 또는 [다중 리전 복제본 키](multi-region-keys-overview.md#mrk-replica-key)인지 여부를 나타냅니다.
# 키 스토어에서 KMS 키 및 AWS CloudHSM 키 구성 요소 찾기
AWS CloudHSM 키 스토어를 관리하는 경우 각 AWS CloudHSM 키 스토어에서 KMS 키를 식별해야 할 수 있습니다. 예를 들어, 다음 작업 중 일부를 수행해야 할 수 있습니다.
+ AWS CloudTrail 로그의 키 스토어에서 KMS AWS CloudHSM 키를 추적합니다.
+ 키 스토어 연결 해제의 KMS AWS CloudHSM 키에 미치는 영향을 예측합니다.
+ 키 스토어를 삭제하기 전에 KMS AWS CloudHSM 키 삭제를 예약합니다.
또한 KMS 키의 키 구성 요소 역할을 하는 AWS CloudHSM 클러스터의 키를 식별할 수 있습니다. 는 KMS 키와 키 구성 요소를 AWS KMS 관리하지만 AWS CloudHSM 클러스터 관리와 HSMs 및 백업과 HSM의 키에 대한 제어 및 책임은 여전히 유지됩니다 HSMs. 키 구성 요소를 감사하거나, 실수로 삭제되지 않도록 보호하거나, KMS 키 삭제 이후 HSM 및 클러스터 백업에서 이를 삭제하기 위해 키 식별이 필요할 수 있습니다.
키 스토어의 KMS 키에 대한 모든 AWS CloudHSM 키 구성 요소는 [`kmsuser` 암호화 사용자](keystore-cloudhsm.md#concept-kmsuser)(CU)가 소유합니다.는 에서만 볼 수 있는 키 레이블 속성을 KMS 키의 Amazon 리소스 이름(ARN) AWS CloudHSM으로 AWS KMS 설정합니다.
KMS 키 및 키 구성 요소를 찾으려면 다음 기법 중 하나를 사용합니다.
+ [키 스토어에서 KMS AWS CloudHSM 키 찾기](find-cmk-in-keystore.md) - 하나 또는 모든 키 스토어에서 KMS AWS CloudHSM 키를 식별하는 방법입니다.
+ [키 스토어의 모든 AWS CloudHSM 키 찾기](find-all-kmsuser-keys.md) - AWS CloudHSM 키 스토어의 KMS 키에서 키 구성 요소 역할을 하는 클러스터의 모든 키를 찾는 방법.
+ [KMS AWS CloudHSM 키의 키 찾기](find-handle-for-cmk-id.md) - 클러스터에서 키 AWS CloudHSM 스토어의 특정 KMS 키에 대한 키 구성 요소 역할을 하는 키를 찾는 방법입니다.
+ [키의 KMS AWS CloudHSM 키 찾기](find-label-for-key-handle.md) — 클러스터에서 특정 키의 KMS 키를 찾는 방법.
# 키 스토어에서 KMS AWS CloudHSM 키 찾기
AWS CloudHSM 키 스토어를 관리하는 경우 각 AWS CloudHSM 키 스토어에서 KMS 키를 식별해야 할 수 있습니다. 이 정보를 사용하여 AWS CloudTrail 로그의 KMS 키 작업을 추적하거나, 사용자 지정 키 스토어가 KMS 키에 미치는 영향을 예측하거나, AWS CloudHSM 키 스토어를 삭제하기 전에 KMS 키 삭제를 예약할 수 있습니다.
## 키 스토어에서 KMS AWS CloudHSM 키를 찾으려면(콘솔)
특정 키 스토어에서 KMS AWS CloudHSM 키를 찾으려면 **고객 관리형 키** 페이지에서 **사용자 지정 키 스토어 이름** 또는 **사용자 지정 키 스토어 ID** 필드의 값을 확인합니다. AWS CloudHSM 키 스토어에서 KMS 키를 식별하려면 **오리**진 값이 인 KMS 키를 찾습니다**AWS CloudHSM**. 화면에 열 옵션을 추가하려면 페이지의 오른쪽 상단 모서리에서 기어 아이콘을 선택합니다.
## 키 스토어에서 KMS AWS CloudHSM 키를 찾으려면(API)
AWS CloudHSM 키 스토어에서 KMS 키를 찾으려면 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 및 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 작업을 사용한 다음 `CustomKeyStoreId` 값을 기준으로 필터링합니다. 다음 예제를 실행하기 전에 가상의 사용자 지정 키 저장소 ID를 유효한 값으로 대체합니다.
------
#### [ Bash ]
특정 키 스토어에서 KMS AWS CloudHSM 키를 찾으려면 계정 및 리전의 모든 KMS 키를 가져옵니다. 그런 다음, 사용자 지정 키 스토어의 ID를 기준으로 필터링합니다.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
계정 및 리전의 모든 AWS CloudHSM 키 스토어에서 KMS 키를 가져오려면 값이 `CustomKeyStoreType`인를 검색합니다`AWS_CloudHSM`.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
특정 키 스토어에서 KMS AWS CloudHSM 키를 찾으려면 [Get-KmsKeyList](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) 및 [Get-KmsKey](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) cmdlet을 사용하여 계정 및 리전의 모든 KMS 키를 가져옵니다. 그런 다음, 사용자 지정 키 스토어의 ID를 기준으로 필터링합니다.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
계정 및 리전의 AWS CloudHSM 키 스토어에서 KMS 키를 가져오려면 CustomKeyStoreType 값을 필터링합니다`AWS_CLOUDHSM`.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# 키 스토어의 모든 AWS CloudHSM 키 찾기
키 스토어의 키 구성 요소 역할을 하는 AWS CloudHSM 클러스터의 키를 식별할 수 있습니다 AWS CloudHSM . 이렇게 하려면 CloudHSM CLI에서 [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용합니다.
**키 목록** 명령을 사용하여 키의 AWS KMS 를 AWS CloudHSM 찾을 수도 있습니다. 가 AWS CloudHSM 클러스터의 KMS 키에 대한 키 구성 요소를 AWS KMS 생성하면 키 레이블에 KMS 키의 Amazon 리소스 이름(ARN)을 기록합니다. **key list** 명령은 `key-reference` 및 `label`을 반환합니다.
**참고**
다음 절차에서는 AWS CloudHSM 클라이언트 SDK 5 명령줄 도구인 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)를 사용합니다. CloudHSM CLI에서 `key-handle`을 `key-reference`로 대체합니다.
2025년 1월 1일에 AWS CloudHSM 는 클라이언트 SDK 3 명령줄 도구, CloudHSM 관리 유틸리티(CMU) 및 키 관리 유틸리티(KMU)에 대한 지원을 종료합니다. Client SDK 3 명령줄 도구와 Client SDK 5 명령줄 도구의 차이점에 대한 자세한 내용은 *AWS CloudHSM 사용 설명서*의 [클라이언트 SDK 3 CMU 및 KMU에서 클라이언트 SDK 5 CloudHSM CLI로 마이그레이션](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)을 참조하세요.
이 절차를 실행하려면 `kmsuser` CU로 로그인할 수 있도록 AWS CloudHSM 키 스토어의 연결을 일시적으로 끊어야 합니다.
1. AWS CloudHSM 키 스토어가 아직 연결 해제되지 않은 경우에 설명된 `kmsuser`대로 로 로그인합니다[연결 해제 및 로그인 방법](fix-keystore.md#login-kmsuser-1).
**참고**
사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.
1. CloudHSM CLI의 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 AWS CloudHSM 클러스터에 있는 현재 사용자의 모든 키를 찾습니다.
기본적으로 현재 로그인한 사용자의 키 10개만 표시되고 `key-reference` 및 `label`만 출력으로 표시됩니다. 자세한 옵션은 *AWS CloudHSM 사용 설명서*의 [키 목록을](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax) 참조하세요.
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. 에 설명된 대로 AWS CloudHSM 키 스토어를 로그아웃하고 다시 연결합니다[로그아웃 및 재연결 방법](fix-keystore.md#login-kmsuser-2).
# 키의 KMS AWS CloudHSM 키 찾기
가 클러스터에서 `kmsuser` 소유한 키의 키 참조 또는 ID를 알고 있는 경우 해당 값을 사용하여 AWS CloudHSM 키 스토어에서 연결된 KMS 키를 식별할 수 있습니다.
가 AWS CloudHSM 클러스터의 KMS 키에 대한 키 구성 요소를 AWS KMS 생성하면 키 레이블에 KMS 키의 Amazon 리소스 이름(ARN)을 기록합니다. 레이블 값을 변경하지 않은 한 CloudHSM CLI의 [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 AWS CloudHSM 키와 연결된 KMS 키를 식별할 수 있습니다.
**참고**
다음 절차에서는 AWS CloudHSM 클라이언트 SDK 5 명령줄 도구인 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)를 사용합니다. CloudHSM CLI에서 `key-handle`을 `key-reference`로 대체합니다.
2025년 1월 1일에 AWS CloudHSM 는 클라이언트 SDK 3 명령줄 도구, CloudHSM 관리 유틸리티(CMU) 및 키 관리 유틸리티(KMU)에 대한 지원을 종료합니다. Client SDK 3 명령줄 도구와 Client SDK 5 명령줄 도구의 차이점에 대한 자세한 내용은 *AWS CloudHSM 사용 설명서*의 [클라이언트 SDK 3 CMU 및 KMU에서 클라이언트 SDK 5 CloudHSM CLI로 마이그레이션](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)을 참조하세요.
이러한 절차를 실행하려면 `kmsuser` CU로 로그인할 수 있도록 AWS CloudHSM 키 스토어의 연결을 일시적으로 끊어야 합니다.
**참고**
사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.
**Topics**
+ [키 참조와 연결된 KMS 키 식별](#key-reference-filter)
+ [백업 키 ID와 연결된 KMS 키 식별](#backing-key-id-filter)
## 키 참조와 연결된 KMS 키 식별
다음 절차에서는 `key-reference` 속성 필터와 함께 CloudHSM CLI에서 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 키 저장소의 특정 KMS 키의 키 구성 요소 역할을 하는 AWS CloudHSM 키를 클러스터에서 찾는 방법을 보여줍니다.
1. AWS CloudHSM 키 스토어가 아직 연결 해제되지 않은 경우에 설명된 `kmsuser`대로 로 로그인합니다[연결 해제 및 로그인 방법](fix-keystore.md#login-kmsuser-1).
1. CloudHSM CLI의 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 `key-reference` 속성을 기준으로 필터링합니다. 일치하는 키에 대한 모든 속성과 키 정보를 포함하도록 `verbose` 인수를 지정합니다. `verbose` 인수를 지정하지 않으면 **key list** 작업은 일치하는 키의 키 참조 및 레이블 속성만 반환합니다.
이 명령을 실행하기 전에 예제 키 `key-reference`를 계정의 유효한 값으로 바꿉니다.
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 에 설명된 대로 AWS CloudHSM 키 스토어를 로그아웃하고 다시 연결합니다[로그아웃 및 재연결 방법](fix-keystore.md#login-kmsuser-2).
## 백업 키 ID와 연결된 KMS 키 식별
AWS CloudHSM 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 모든 CloudTrail 로그 항목에는 `customKeyStoreId` 및가 있는 `additionalEventData` 필드가 포함됩니다`backingKeyId`. `backingKeyId` 필드에 반환된 값은 CloudHSM 키 `id` 속성과 관련이 있습니다. `id` 속성을 기준으로 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 작업을 필터링하여 특정 `backingKeyId`와 연결된 KMS 키를 식별할 수 있습니다.
1. AWS CloudHSM 키 스토어가 아직 연결 해제되지 않은 경우에 설명된 `kmsuser`대로 로 로그인합니다[연결 해제 및 로그인 방법](fix-keystore.md#login-kmsuser-1).
1. 속성 필터와 함께 CloudHSM CLI의 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 AWS CloudHSM 키 저장소의 특정 KMS 키에 대한 키 구성 요소 역할을 하는 키를 클러스터에서 찾습니다.
다음 예제에서는 `id` 속성을 기준으로 필터링하는 방법을 보여줍니다. AWS CloudHSM 은 `id` 값을 16진수 값으로 인식합니다. `id` 속성을 기준으로 **키 목록** 작업을 필터링하려면 먼저 CloudTrail 로그 항목에서 식별한 `backingKeyId` 값을가 AWS CloudHSM 인식하는 형식으로 변환해야 합니다.
1. 다음 Linux 명령을 사용하여 `backingKeyId`를 16진수 표현으로 변환합니다.
```
echo backingKeyId | tr -d '\n' | xxd -p
```
다음 예제에서는 `backingKeyId` 바이트 배열을 16진수 표현으로 변환하는 방법을 보여줍니다.
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. `0x`를 사용하여 `backingKeyId`의 16진수 표현을 준비합니다.
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 변환된 `backingKeyId` 값을 사용하여 `id` 속성을 기준으로 필터링합니다. 일치하는 키에 대한 모든 속성과 키 정보를 포함하도록 `verbose` 인수를 지정합니다. `verbose` 인수를 지정하지 않으면 **key list** 작업은 일치하는 키의 키 참조 및 레이블 속성만 반환합니다.
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 에 설명된 대로 AWS CloudHSM 키 스토어를 로그아웃하고 다시 연결합니다[로그아웃 및 재연결 방법](fix-keystore.md#login-kmsuser-2).
# KMS AWS CloudHSM 키의 키 찾기
키 스토어에서 KMS 키의 KMS AWS CloudHSM 키 ID를 사용하여 키 구성 요소 역할을 하는 AWS CloudHSM 클러스터의 키를 식별할 수 있습니다.
가 AWS CloudHSM 클러스터의 KMS 키에 대한 키 구성 요소를 AWS KMS 생성하면 키 레이블에 KMS 키의 Amazon 리소스 이름(ARN)을 기록합니다. 레이블 값을 변경하지 않은 경우 CloudHSM CLI에서 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용해 KMS 키대한 키 구성 요소의 key-resource와 ID를 찾을 수 있습니다.
AWS CloudHSM 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 모든 CloudTrail 로그 항목에는 `customKeyStoreId` 및가 있는 `additionalEventData` 필드가 포함됩니다`backingKeyId`. `backingKeyId` 필드에 반환되는 값은 `id` AWS CloudHSM 키 속성입니다. KMS 키 ARN을 **기준으로 키 목록** AWS CloudHSM CLI 작업을 필터링하여 특정 KMS 키와 연결된 CloudHSM 키 `id` 속성을 식별할 수 있습니다.
이 절차를 실행하려면 `kmsuser` CU로 로그인할 수 있도록 AWS CloudHSM 키 스토어의 연결을 일시적으로 끊어야 합니다.
**참고**
다음 절차에서는 AWS CloudHSM 클라이언트 SDK 5 명령줄 도구인 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)를 사용합니다. CloudHSM CLI에서 `key-handle`을 `key-reference`로 대체합니다.
2025년 1월 1일에 AWS CloudHSM 는 클라이언트 SDK 3 명령줄 도구, CloudHSM 관리 유틸리티(CMU) 및 키 관리 유틸리티(KMU)에 대한 지원을 종료합니다. Client SDK 3 명령줄 도구와 Client SDK 5 명령줄 도구의 차이점에 대한 자세한 내용은 *AWS CloudHSM 사용 설명서*의 [클라이언트 SDK 3 CMU 및 KMU에서 클라이언트 SDK 5 CloudHSM CLI로 마이그레이션](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)을 참조하세요.
1. AWS CloudHSM 키 스토어가 아직 연결 해제되지 않은 경우에 설명된 `kmsuser`대로 로 로그인합니다[연결 해제 및 로그인 방법](fix-keystore.md#login-kmsuser-1).
**참고**
사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.
1. CloudHSM CLI에서 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하고 로 필터링`label`하여 AWS CloudHSM 클러스터의 특정 키에 대한 KMS 키를 찾습니다. 일치하는 키에 대한 모든 속성과 키 정보를 포함하도록 `verbose` 인수를 지정합니다. `verbose` 인수를 지정하지 않으면 **key list** 작업은 일치하는 키의 key-reference 및 label 속성만 반환합니다.
다음 예제에서는 KMS 키 ARN을 저장하는 `label` 속성을 기준으로 필터링하는 방법을 보여줍니다. 이 명령을 실행하기 전에 예제 KMS 키 ARN을 계정의 유효한 값으로 대체합니다.
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 에 설명된 대로 AWS CloudHSM 키 스토어를 로그아웃하고 다시 연결합니다[로그아웃 및 재연결 방법](fix-keystore.md#login-kmsuser-2).