Amazon EBS 암호화에 사용되는 AWS KMS 키 교체

암호화 모범 사례에 따르면 암호화 키를 광범위하게 사용하지 않는 것이 좋습니다.

Amazon EBS 암호화에 사용할 새 암호화 자료를 생성하려면 새 고객 관리형 키를 생성한 다음 새로 생성한 KMS 키를 사용하도록 애플리케이션을 변경하면 됩니다. 또는 기존 고객 관리형 키에 대해 자동 키 교체를 활성화할 수 있습니다.

고객 관리형 키에 대한 자동 키 교체를 활성화하면 AWS KMS에서 매년 KMS 키에 대한 새 암호화 구성 요소를 생성합니다. AWS KMS는 암호화 구성 요소의 모든 이전 버전을 저장하므로 이전에 해당 KMS 키 구성 요소로 암호화된 볼륨 및 스냅샷을 계속해서 해독 및 사용할 수 있습니다. AWS KMS에서는 해당 KMS 키를 삭제할 때까지 교체된 키 구성 요소를 삭제하지 않습니다.

교체된 고객 관리형 키를 사용하여 새 볼륨 또는 스냅샷을 암호화하는 경우 AWS KMS는 현재(새) 키 구성 요소를 사용합니다. 교체된 고객 관리형 키를 사용하여 볼륨 또는 스냅샷을 해독하는 경우 AWS KMS는 이를 암호화하는 데 사용된 버전의 암호화 구성 요소를 사용합니다. 볼륨 또는 스냅샷이 이전 버전의 암호화 구성 요소로 암호화된 경우 AWS KMS는 이전 버전을 계속 사용하여 해독합니다. AWS KMS는 키 교체 후 새 암호화 구성 요소를 사용하도록 이전에 암호화된 볼륨 또는 스냅샷을 다시 암호화하지 않습니다. 원래 사용된 암호화 구성 요소로 암호화된 상태로 유지됩니다. 코드 변경 없이 애플리케이션 및 AWS 서비스에서 교체된 고객 관리형 키를 안전하게 사용할 수 있습니다.

자세한 내용을 알아보려면 AWS Key Management Service 개발자 안내서의 KMS 키 교체를 참조하세요.