기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 다중 리전 프라이머리 키 생성
AWS KMS 콘솔에서 또는 AWS KMS API를 사용하여 [다중 리전 기본 키를](multi-region-keys-overview.md#mrk-primary-key) 생성할 수 있습니다. 가 다중 리전 키를 AWS KMS 지원하는 모든 AWS 리전 에서 기본 키를 생성할 수 있습니다.
다중 리전 기본 키를 생성하려면 보안 주체에게 IAM 정책의 [kms:CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 권한을 포함하여 KMS 키를 생성하는 데 필요한 것과 [동일한 권한](create-keys.md#create-key-permissions)이 필요합니다. 보안 주체는 또한[iam:CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) 권한도 필요합니다. [kms:MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type) 조건 키를 사용하여 다중 리전 기본 키 생성 권한을 허용하거나 거부할 수 있습니다.
**참고**
다중 리전 프라이머리 키를 생성할 때, 키를 관리하고 사용하는 IAM 사용자와 역할을 신중하게 검토하여 선택해야 합니다. IAM 정책은 다른 IAM 사용자 및 역할에 KMS 키 관리 권한을 제공할 수 있습니다.
IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자의 사용을 장려하지 않습니다. 가능할 경우, 임시 보안 인증 정보를 제공하는 IAM 역할을 사용하세요. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## AWS KMS 콘솔 사용
AWS KMS 콘솔에서 다중 리전 기본 키를 생성하려면 KMS 키를 생성하는 데 사용하는 것과 동일한 프로세스를 사용합니다. **고급 옵션**에서 다중 리전 키를 선택합니다. 전체 지침은 [KMS 키 생성](create-keys.md) 섹션을 참조하십시오.
**중요**
별칭, 설명 또는 태그에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. **키 생성(Create key)**을 선택합니다.
1. [대칭 또는 비대칭](symmetric-asymmetric.md) 키 유형을 선택합니다. 대칭 키가 기본값입니다.
대칭인 다중 리전 HMAC KMS 키를 포함하여 다중 리전 대칭 및 비대칭 키를 생성할 수 있습니다.
1. 키 사용을 선택합니다. **암호화 및 해독(Encrypt and decrypt)**이 기본값입니다.
도움말은 [KMS 키 생성](create-keys.md), [비대칭 KMS 키 생성](asymm-create-key.md) 또는 [HMAC KMS 키 생성](hmac-create-key.md) 섹션을 참조하세요.
1. **고급 옵션**을 확장합니다.
1. **키 구성 요소 오**리진에서가 기본 키와 복제본 키가 공유할 키 구성 요소를 AWS KMS 생성하도록 하려면 **KMS**를 선택합니다. 기본 및 복제본 키로 [키 구성 요소를 가져오는](importing-keys-create-cmk.md) 경우 **외부(키 구성 요소 가져오기)(External (Import key material))**를 선택합니다.
1. **리전 특성**에서 **다중 리전 키**를 선택합니다.
KMS 키를 생성한 후에는 이 설정을 변경할 수 없습니다.
1. 기본 키의 [별칭](kms-alias.md)을 입력합니다.
별칭은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 별칭 또는 다른 별칭을 부여할 수 있습니다.는 다중 리전 키의 별칭을 동기화하지 AWS KMS 않습니다.
**참고**
별칭을 추가, 삭제 또는 업데이트하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 및 [별칭을 사용하여 KMS 키에 대한 액세스 제어](alias-authorization.md) 섹션을 참조하십시오.
1. (선택 사항) 기본 키에 대한 설명을 입력합니다.
설명은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 설명 또는 다른 설명을 제공할 수 있습니다.는 다중 리전 키의 키 설명을 동기화하지 AWS KMS 않습니다.
1. (선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 기본 키에 두 개 이상의 태그를 할당하려면 **태그 추가(Add tag)**를 선택합니다.
태그는 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 태그 또는 다른 태그를 지정할 수 있습니다. AWS KMS 는 다중 리전 키의 태그를 동기화하지 않습니다. KMS 키의 태그는 언제든지 변경할 수 있습니다.
**참고**
KMS 키에 태그를 지정하거나 해제하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 및 [태그를 사용하여 KMS 키에 대한 액세스 제어](tag-authorization.md) 섹션을 참조하세요.
1. 기본 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다.
**참고**
이 단계는 기본 키에 대한 [키 정책](key-policies.md)을 만드는 프로세스를 시작합니다. 키 정책은 다중 리전 키의 공유 속성이 아닙니다. 다중 리전 기본 키와 해당 복제본에 동일한 키 정책 또는 다른 키 정책을 부여할 수 있습니다.는 다중 리전 키의 키 정책을 동기화하지 AWS KMS 않습니다. KMS 키의 키 정책은 언제든지 변경할 수 있습니다.
다중 리전 프라이머리 키를 생성할 때는 콘솔에서 생성된 [기본 키 정책](key-policy-default.md)을 사용하는 것이 좋습니다. 이 정책을 수정하는 경우, 콘솔은 복제 키 생성 시 키 관리자 및 사용자를 선택하는 단계를 제공하지 않으며 해당 정책 문도 추가하지 않습니다. 따라서 이러한 항목은 수동으로 추가해야 합니다.
AWS KMS 콘솔은 문 식별자 아래의 키 정책에 키 관리자를 추가합니다`"Allow access for Key Administrators"`. 이 문 식별자를 수정하면 문에 대해 콘솔이 업데이트 내용을 표시하는 방식에 영향을 미칠 수 있습니다.
1. (선택 사항) 선택한 IAM 사용자와 역할이 페이지 하단의 **키 삭제** 섹션에서 이 KMS 키를 삭제하지 못하도록 하려면 **키 관리자가 이 키를 삭제하도록 허용(Allow key administrators to delete this key)** 확인란의 선택을 취소합니다.
1. **다음**을 선택합니다.
1. [암호화 작업](kms-cryptography.md#cryptographic-operations)에서 KMS 키를 사용할 수 있는 IAM 사용자 및 역할을 선택합니다.
**참고**
AWS KMS 콘솔은 문 식별자 `"Allow use of the key"` 및 아래의 키 정책에 키 사용자를 추가합니다`"Allow attachment of persistent resources"`. 이러한 문 식별자들을 수정하면 문에 대해 콘솔이 업데이트 내용을 표시하는 방식에 영향을 미칠 수 있습니다.
1. (선택 사항) 다른 사용자가 암호화 작업에이 KMS 키를 AWS 계정 사용하도록 허용할 수 있습니다. 이렇게 하려면 페이지 하단의 **기타 AWS 계정** 섹션에서 **다른 AWS 계정추가**를 선택하고 외부 계정의 AWS 계정 식별 번호를 입력합니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.
**참고**
외부 계정의 보안 주체가 KMS 키를 사용하도록 허용하려면 외부 계정 관리자가 이러한 권한을 제공하는 IAM 정책을 생성해야 합니다. 자세한 정보는 [다른 계정의 사용자가 KMS를 사용하도록 허용](key-policy-modifying-external-accounts.md) 섹션을 참조하세요.
1. **다음**을 선택합니다.
1. 키에 대한 키 정책 문을 검토합니다. 키 정책을 변경하려면 **편집**을 선택하세요.
1. **다음**을 선택합니다.
1. 선택한 키 설정을 검토합니다. 여전히 돌아가서 모든 설정을 변경할 수 있습니다.
1. **마침**을 선택하여 다중 리전 프라이머리 키를 생성하세요.
## AWS KMS API 사용
다중 리전 기본 키를 만들려면 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업을 수행합니다. 값이 `True`인 `MultiRegion` 매개변수를 사용합니다.
예를 들어 다음 명령은 호출자의 AWS 리전 (us-east-1)에 다중 리전 기본 키를 생성합니다. 키 정책을 포함하여 다른 모든 속성을 위해 기본값을 허용합니다. 다중 리전 기본 키의 기본값은 [기본 키 정책](key-policy-default.md)을 포함하여 다른 모든 KMS 키의 기본값과 동일합니다. 이 절차에서는 기본 KMS 키인 대칭 암호화 키를 생성합니다.
응답에는 복제본 키가 없는 다중 리전 기본 키에 대한 값과 일반적인 하위 요소가 있는 `MultiRegion` 요소 및 `MultiRegionConfiguration` 요소가 포함됩니다. 다중 리전 키의 [키 ID](concepts.md#key-id-key-id)는 항상 `mrk-`로 시작합니다.
**중요**
`Description` 또는 `Tags` 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
```
$ aws kms create-key --multi-region
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1606329032.475,
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"AWSAccountId": "111122223333",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [ ]
}
}
}
```