기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 삭제하면 AWS KMS key 파괴적이고 위험할 수 있습니다. 이렇게 하면 KMS 키와 연결된 키 구성 요소와 모든 메타데이터가 삭제되고, 이 작업은 되돌릴 수 없습니다. KMS 키가 삭제된 후에는 해당 KMS 키로 암호화된 데이터를 더 이상 해독할 수 없습니다. 즉 데이터를 복구할 수 없게 됩니다. (유일한 예외는 다중 리전 복제 키와 가져온 키 구성 요소가 있는 비대칭 및 HMAC KMS 키입니다.) 이 위험은 경고나 오류 없이 사용자가 프라이빗 키를 삭제한 후 복호화할 수 없는 퍼블릭 키로 암호 텍스트를 계속 생성할 수 있는 암호화에 사용되는 비대칭 KMS 키에 중요합니다 AWS KMS.
더 이상 사용할 필요가 없다고 확신하는 경우에만 KMS 키를 삭제해야 합니다. 확실하지 않은 경우에는 삭제하는 대신 KMS 키를 비활성화하는 방법을 고려하십시오. 비활성화된 KMS 키를 다시 활성화하고 예약된 KMS 키 삭제를 취소할 수 있지만 삭제된 KMS 키는 복구할 수 없습니다.
고객 관리형 키 삭제만 예약할 수 있습니다. AWS 관리형 키 또는는 삭제할 수 없습니다 AWS 소유 키.
KMS 키를 삭제하기 전에 해당 KMS 키로 암호화된 사이퍼텍스트 수를 알고 싶을 수 있습니다. AWS KMS 는이 정보를 저장하지 않으며 사이퍼텍스트를 저장하지 않습니다. 이 정보를 얻으려면 과거 KMS 키 용도를 확인해야 합니다. 도움이 필요하면 KMS 키의 과거 사용 결정로 이동하세요.
AWS KMS 명시적으로 삭제를 예약하고 필수 대기 기간이 만료되지 않는 한는 KMS 키를 삭제하지 않습니다.
하지만 다음 중 하나 이상의 이유로 KMS 키를 삭제하기로 선택할 수 있습니다.
-
더 이상 필요하지 않은 KMS 키의 키 수명 주기를 완료하기 위해
-
사용하지 않는 KMS 키 유지로 인한 관리 오버헤드와 비용
발생을 방지하기 위해 -
KMS 키 리소스 할당량에 반하는 KMS 키 수를 줄이기 위해
참고
를 닫 AWS 계정으면 KMS 키에 액세스할 수 없게 되고 더 이상 요금이 청구되지 않습니다.
AWS KMS 는 KMS 키 삭제를 예약할 때와 KMS 키가 실제로 삭제될 때 AWS CloudTrail 로그에 항목을 기록합니다.
대기 기간에 대해
KMS 키를 삭제하는 것은 파괴적이고 잠재적으로 위험하기 때문에는 7~30일의 대기 기간을 설정해야 AWS KMS 합니다. 기본 대기 기간은 30일입니다.
그러나 실제 대기 기간은 예약한 대기 기간보다 최대 24시간 더 길어질 수 있습니다. KMS 키가 삭제될 실제 날짜 및 시간을 가져오려면 DescribeKey 작업을 사용합니다. 또는 AWS KMS 콘솔의 KMS 키 세부 정보 페이지에 있는 일반 구성 섹션에서 예약된 삭제 날짜를 참조하세요. 시간대를 기록하세요.
이 대기 기간 동안 KMS 키 상태 및 키 상태는 삭제 대기 중(Pending deletion)입니다.
대기 기간이 끝나면는 KMS 키, 별칭 및 모든 관련 AWS KMS 메타데이터를 AWS KMS 삭제합니다.
KMS 키 삭제를 예약해도 KMS 키로 암호화된 데이터 키에는 즉각적인 영향이 없을 수 있습니다. 세부 정보는 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향을 참조하세요.
현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용합니다. 사람이나 애플리케이션이 대기 기간 중에 KMS 키를 사용하려고 할 때 경고하도록 Amazon CloudWatch 경보를 구성할 수 있습니다. KMS 키를 복구하기 위해 대기 기간이 종료되기 전에 키 삭제를 취소할 수 있습니다. 대기 기간이 끝나면 키 삭제를 취소할 수 없으며가 KMS 키를 AWS KMS 삭제합니다.
특별 고려 사항
삭제를 위해 키를 예약하기 전에 특수 목적의 KMS 키 삭제와 관련된 다음과 같은 특수한 고려 사항을 검토하세요.
- 비대칭 KMS 키 삭제
-
권한이 부여된 사용자는 대칭 또는 비대칭 KMS 키를 삭제할 수 있습니다. 이러한 KMS 키의 삭제를 예약하는 절차는 두 가지 유형의 키에 대해 동일합니다. 그러나 비대칭 KMS 키의 퍼블릭 키는 외부에서 다운로드하여 사용할 수 있기 때문에 AWS KMS작업은 특히 암호화에 사용되는 비대칭 KMS 키(키 사용량은 )에 대해 상당한 추가 위험을 초래합니다
ENCRYPT_DECRYPT.-
KMS 키 삭제를 예약하면 해당 KMS 키는 키 상태가 삭제 보류 중(Pending deletion)으로 변경되며 암호화 작업에 사용할 수 없습니다. 그러나 예약 삭제는 외부의 퍼블릭 키에는 영향을 미치지 않습니다 AWS KMS. 퍼블릭 키가 있는 사용자는 계속해서 해당 키를 사용하여 메시지를 암호화할 수 있습니다. 키 상태가 변경되었다는 알림은 받지 못합니다. 삭제가 취소되지 않으면 해당 퍼블릭 키로 생성된 암호화 텍스트는 해독할 수 없습니다.
-
삭제 보류 중인 KMS 키를 사용하려는 시도를 감지하는 경보, 로그 및 기타 전략은 AWS KMS외부에서의 퍼블릭 키 사용을 감지할 수 없습니다.
-
KMS 키가 삭제되면 해당 KMS 키와 관련된 모든 AWS KMS 작업이 실패합니다. 그러나 퍼블릭 키가 있는 사용자는 계속해서 메시지를 암호화하는 데 사용할 수 있습니다. 이러한 암호화 텍스트는 해독할 수 없습니다.
키 사용이
ENCRYPT_DECRYPT인 비대칭 KMS 키를 삭제해야 하는 경우 CloudTrail Log 항목을 사용하여 퍼블릭 키가 다운로드 및 공유되었는지 확인합니다. 그러한 퍼블릭 키가 있을 경우 해당 키가 AWS KMS외부에서 사용되지 않는지 확인합니다. 그런 다음 KMS 키를 삭제하는 대신 비활성화하는 것이 좋습니다.가져온 키 구성 요소가 있는 비대칭 KMS 키의 경우 비대칭 KMS 키를 삭제하여 발생하는 위험이 완화됩니다. 세부 정보는 Deleting KMS keys with imported key material을 참조하세요.
-
- 다중 리전 키 삭제
-
기본 키를 삭제하려면 해당 복제 키를 모두 삭제하도록 예약한 다음 복제본 키가 삭제될 때까지 기다려야 합니다. 기본 키를 삭제하는 데 필요한 대기 기간은 마지막 복제 키가 삭제될 때 시작됩니다. 복제 키를 삭제하지 않고 특정 리전에서 기본 키를 삭제해야 하는 경우 기본 리전을 업데이트하여 기본 키를 복제본 키로 변경합니다.
언제든지 복제본 키를 삭제할 수 있습니다. 다른 KMS 키의 키 상태에 의존하지 않습니다. 실수로 복제본 키를 삭제한 경우 동일한 리전에 동일한 프라이머리 키를 복제하여 복제본을 다시 만들 수 있습니다. 새로 생성하는 복제본 키는 원래 복제본 키와 동일한 공유 속성을 갖습니다.
- 가져온 키 구성 요소가 있는 KMS 키 삭제
-
키 구성 요소가 있는 KMS 키의 키 구성 요소를 삭제하는 것은 일시적이며 되돌릴 수 있습니다. 키를 복원하려면 키 구성 요소를 다시 가져오세요.
반면 KMS 키 삭제 작업은 되돌릴 수 없습니다. 키 삭제를 예약하고 필요한 대기 기간이 만료되면는 KMS 키, 키 구성 요소 및 KMS 키와 연결된 모든 메타데이터를 AWS KMS 영구적이고 되돌릴 수 없습니다.
하지만 가져온 키 구성 요소가 있는 KMS 키를 삭제할 경우의 위험과 결과는 KMS 키의 유형(‘키 사양’)에 따라 달라집니다.
-
대칭 암호화 키 - 대칭 암호화 KMS 키를 삭제하면 해당 키로 암호화된 나머지 모든 사이퍼텍스트를 복구할 수 없습니다. 동일한 키 구성 요소가 있더라도 삭제된 대칭 암호화 KMS 키의 사이퍼텍스트를 해독할 수 있는 새로운 대칭 암호화 KMS 키를 생성할 수 없습니다. 각 KMS 키에 고유한 메타데이터는 각 대칭 사이퍼텍스트에 암호화 방식으로 바인딩됩니다. 이 보안 기능은 대칭 사이퍼텍스트를 암호화한 KMS 키만 해당 사이퍼텍스트를 해독할 수 있도록 보장하지만, 동일한 KMS 키를 다시 생성할 수 없도록 합니다.
-
비대칭 및 HMAC 키 - 원래 키 구성 요소가 있는 경우 삭제된 비대칭 또는 HMAC KMS 키와 동일한 암호화 속성을 가진 새 KMS 키를 생성할 수 있습니다.는 고유한 보안 기능을 포함하지 않는 표준 RSA 암호 텍스트 및 서명, ECC 서명 및 HMAC 태그를 AWS KMS 생성합니다. AWS외부의 HMAC 키 또는 비대칭 키 쌍의 프라이빗 키를 사용할 수도 있습니다.
동일한 비대칭 또는 HMAC 키 구성 요소를 사용하여 생성한 새 KMS 키는 다른 키 식별자를 갖게 됩니다. 새 키 정책을 생성하고, 별칭을 다시 만들고, 새 키를 참조하도록 기존 IAM 정책 및 권한 부여를 업데이트해야 합니다.
-
- 키 스토어에서 KMS AWS CloudHSM 키 삭제
-
키 스토어에서 KMS 키 삭제를 예약하면 AWS CloudHSM 키 상태가 삭제 보류 중으로 변경됩니다. KMS 키는 삭제 보류 중 상태로 인해 KMS 키를 사용할 수 없게 되는 경우에도 대기 기간 동안사용자 지정 키 스토어의 연결을 해제합니다.. 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다.
대기 기간이 만료되면에서 KMS 키를 AWS KMS 삭제합니다 AWS KMS. 그런 다음 AWS KMS 는 연결된 AWS CloudHSM 클러스터에서 키 구성 요소를 삭제하기 위해 최선을 다합니다. AWS KMS에서 키 스토어의 연결이 해제된 경우처럼 AWS KMS 가 키 구성 요소를 삭제할 수 없는 경우에는 클러스터에서 수동으로 불필요한 키 구성 요소를 삭제해야 할 수 있습니다.
AWS KMS 는 클러스터 백업에서 키 구성 요소를 삭제하지 않습니다. 에서 KMS 키를 삭제 AWS KMS 하고 AWS CloudHSM 클러스터에서 키 구성 요소를 삭제하더라도 백업에서 생성된 클러스터에는 삭제된 키 구성 요소가 포함될 수 있습니다. 키 구성 요소를 영구적으로 삭제하려면 DescribeKey 작업을 사용하여 KMS 키의 생성 날짜를 식별합니다. 그런 다음, 키 구성 요소가 포함되어 있을 수 있는 모든 클러스터 백업을 삭제합니다.
AWS CloudHSM 키 스토어에서 KMS 키 삭제를 예약하면 KMS 키를 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 데이터 키로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 영향을 미치며 AWS 서비스, 대부분 데이터 키를 사용하여 리소스를 보호합니다. 세부 정보는 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향을 참조하세요.
- 외부 키 저장소에서 KMS 키 삭제
-
외부 키 스토어에서 KMS 키를 삭제해도 키 구성 요소로 사용된 외부 키에는 영향을 주지 않습니다.
외부 키 스토어에서 KMS 키 삭제를 예약하면 키 상태가 Pending deletion(삭제 보류 중)으로 변경됩니다. 외부 키 스토어를 연결 해제하여 KMS 키를 사용할 수 없게 되더라도 KMS 키는 대기 기간 내내 Pending deletion(삭제 보류 중) 상태로 유지됩니다. 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다. 대기 기간이 만료되면에서 KMS 키를 AWS KMS 삭제합니다 AWS KMS.
외부 키 스토어에서 KMS 키 삭제를 예약하면 KMS 키는 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 데이터 키로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 리소스를 보호하기 위해 데이터 키를 사용하는 AWS 서비스에 영향을 미칩니다. 세부 정보는 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향을 참조하세요.
