기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 삭제 AWS KMS key
<a name="deleting-keys"></a>

를 삭제하면 AWS KMS key 파괴적이고 위험할 수 있습니다. 이렇게 하면 KMS 키와 연결된 키 구성 요소와 모든 메타데이터가 삭제되고, 이 작업은 되돌릴 수 없습니다. KMS 키가 삭제된 후에는 해당 KMS 키로 암호화된 데이터를 더 이상 해독할 수 없습니다. 즉 데이터를 복구할 수 없게 됩니다. (유일한 예외는 [다중 리전 복제 키](#deleting-mrks)와 가져온 키 구성 요소가 있는 비대칭 및 HMAC KMS 키입니다.) 이 위험은 경고나 오류 없이 사용자가 프라이빗 [키가 삭제된 후 복호화할 수 없는 퍼블릭 키로 사이퍼텍스트를 계속 생성할 수 있는 암호화에 사용되는 비대칭 KMS](#deleting-asymmetric-cmks) 키에 중요합니다 AWS KMS.

더 이상 사용할 필요가 없다고 확신하는 경우에만 KMS 키를 삭제해야 합니다. 확실하지 않은 경우에는 삭제하는 대신 [KMS 키를 비활성화](enabling-keys.md)하는 방법을 고려하십시오. 비활성화된 KMS 키를 다시 활성화하고 [예약된 KMS 키 삭제를 취소](deleting-keys-scheduling-key-deletion.md)할 수 있지만 삭제된 KMS 키는 복구할 수 없습니다.

고객 관리형 키 삭제만 예약할 수 있습니다. AWS 관리형 키 또는는 삭제할 수 없습니다 AWS 소유 키.

KMS 키를 삭제하기 전에 해당 KMS 키로 암호화된 사이퍼텍스트 수를 알고 싶을 수 있습니다. AWS KMS 는이 정보를 저장하지 않으며 사이퍼텍스트를 저장하지 않습니다. 이 정보를 얻으려면 과거 KMS 키 용도를 확인해야 합니다. 도움이 필요하면 [KMS 키의 과거 사용 결정](deleting-keys-determining-usage.md)로 이동하세요.

AWS KMS 명시적으로 삭제를 예약하고 필수 대기 기간이 만료되지 않는 한는 KMS 키를 삭제하지 않습니다.

하지만 다음 중 하나 이상의 이유로 KMS 키를 삭제하기로 선택할 수 있습니다.
+ 더 이상 필요하지 않은 KMS 키의 키 수명 주기를 완료하기 위해
+ 사용하지 않는 KMS 키 유지로 인한 관리 오버헤드와 [비용](https://aws.amazon.com/kms/pricing/) 발생을 방지하기 위해
+ [KMS 키 리소스 할당량](resource-limits.md#kms-keys-limit)에 반하는 KMS 키 수를 줄이기 위해

**참고**  
[를 닫 AWS 계정](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)으면 KMS 키에 액세스할 수 없게 되며 더 이상 요금이 청구되지 않습니다.

AWS KMS 는 KMS 키 [삭제를 예약할](ct-schedule-key-deletion.md) 때와 [KMS 키가 실제로 삭제](ct-delete-key.md)될 때 AWS CloudTrail 로그에 항목을 기록합니다.

## 대기 기간에 대해
<a name="deleting-keys-how-it-works"></a>

KMS 키를 삭제하는 것은 파괴적이고 잠재적으로 위험하기 때문에 대기 기간을 7\$130일로 설정해야 AWS KMS 합니다. 기본 대기 기간은 30일입니다.

그러나 실제 대기 기간은 예약한 대기 기간보다 최대 24시간 더 길어질 수 있습니다. KMS 키가 삭제될 실제 날짜 및 시간을 가져오려면 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 작업을 사용합니다. 또는 AWS KMS 콘솔의 KMS 키 [세부 정보 페이지](finding-keys.md#viewing-console-details)에 있는 **일반 구성** 섹션에서 **예약된 삭제 날짜**를 참조하세요. 시간대를 기록하세요.

이 대기 기간 동안 KMS 키 상태 및 키 상태는 **삭제 대기 중(Pending deletion)**입니다.
+ 삭제 대기 중인 KMS 키는 어떠한 [암호화 작업](kms-cryptography.md#cryptographic-operations)에도 사용할 수 없습니다.
+ AWS KMS 는 삭제 보류 중인 KMS 키의 키 [구성 요소를 교체](rotate-keys.md#rotate-keys-how-it-works)하지 않습니다.

대기 기간이 끝나면는 KMS 키, 별칭 및 모든 관련 AWS KMS 메타데이터를 AWS KMS 삭제합니다.

KMS 키 삭제를 예약해도 KMS 키로 암호화된 데이터 키에는 즉각적인 영향이 없을 수 있습니다. 자세한 내용은 [사용할 수 없는 KMS 키가 데이터 키에 미치는 영향](unusable-kms-keys.md)을 참조하세요.

현재 또는 향후에 KMS 키가 필요하지 않도록 하기 위해 대기 기간을 사용합니다. 사람이나 애플리케이션이 대기 기간 중에 KMS 키를 사용하려고 할 때 경고하도록 [Amazon CloudWatch 경보를 구성](deleting-keys-creating-cloudwatch-alarm.md)할 수 있습니다. KMS 키를 복구하기 위해 대기 기간이 종료되기 전에 키 삭제를 취소할 수 있습니다. 대기 기간이 종료된 후에는 키 삭제를 취소할 수 없으며가 KMS 키를 AWS KMS 삭제합니다.

## 특별 고려 사항
<a name="special-considerations-delete"></a>

삭제를 위해 키를 예약하기 전에 특수 목적의 KMS 키 삭제와 관련된 다음과 같은 특수한 고려 사항을 검토하세요.

**비대칭 KMS 키 삭제**  
[권한이 부여된](deleting-keys-adding-permission.md) 사용자는 대칭 또는 비대칭 KMS 키를 삭제할 수 있습니다. 이러한 KMS 키의 삭제를 예약하는 절차는 두 가지 유형의 키에 대해 동일합니다. 그러나 [비대칭 KMS 키의 퍼블릭 키를 다운로드하여 외부에서 사용할 수](download-public-key.md) 있으므로 작업은 특히 암호화에 사용되는 비대칭 KMS 키(키 사용: )의 경우 상당한 추가 위험을 초래합니다`ENCRYPT_DECRYPT`. AWS KMS  
+ KMS 키 삭제를 예약하면 해당 KMS 키는 키 상태가 **삭제 보류 중(Pending deletion)**으로 변경되며 [암호화 작업](kms-cryptography.md#cryptographic-operations)에 사용할 수 없습니다. 그러나 삭제 예약은 외부의 퍼블릭 키에는 영향을 주지 않습니다 AWS KMS. 퍼블릭 키가 있는 사용자는 계속해서 해당 키를 사용하여 메시지를 암호화할 수 있습니다. 키 상태가 변경되었다는 알림은 받지 못합니다. 삭제가 취소되지 않으면 해당 퍼블릭 키로 생성된 암호화 텍스트는 해독할 수 없습니다.
+ 삭제 보류 중인 KMS 키를 사용하려는 시도를 감지하는 경보, 로그 및 기타 전략은 AWS KMS외부에서의 퍼블릭 키 사용을 감지할 수 없습니다.
+ KMS 키가 삭제되면 해당 KMS 키와 관련된 모든 AWS KMS 작업이 실패합니다. 그러나 퍼블릭 키가 있는 사용자는 계속해서 메시지를 암호화하는 데 사용할 수 있습니다. 이러한 암호화 텍스트는 해독할 수 없습니다.
키 사용이 `ENCRYPT_DECRYPT`인 비대칭 KMS 키를 삭제해야 하는 경우 CloudTrail Log 항목을 사용하여 퍼블릭 키가 다운로드 및 공유되었는지 확인합니다. 그러한 퍼블릭 키가 있을 경우 해당 키가 AWS KMS외부에서 사용되지 않는지 확인합니다. 그런 다음 KMS 키를 삭제하는 대신 [비활성화](enabling-keys.md)하는 것이 좋습니다.  
가져온 키 구성 요소가 있는 비대칭 KMS 키의 경우 비대칭 KMS 키를 삭제하여 발생하는 위험이 완화됩니다. 자세한 내용은 [Deleting KMS keys with imported key material](#import-delete-key)을 참조하세요.

**다중 리전 키 삭제**  
기본 키를 삭제하려면 해당 복제 키를 모두 삭제하도록 예약한 다음 복제본 키가 삭제될 때까지 기다려야 합니다. 기본 키를 삭제하는 데 필요한 대기 기간은 마지막 복제 키가 삭제될 때 시작됩니다. 복제 키를 삭제하지 않고 특정 리전에서 기본 키를 삭제해야 하는 경우 [기본 리전을 업데이트](multi-region-update.md)하여 기본 키를 복제본 키로 변경합니다.  
언제든지 복제본 키를 삭제할 수 있습니다. 다른 KMS 키의 키 상태에 의존하지 않습니다. 실수로 복제본 키를 삭제한 경우 동일한 리전에 동일한 프라이머리 키를 복제하여 복제본을 다시 만들 수 있습니다. 새로 생성하는 복제본 키는 원래 복제본 키와 동일한 [공유 속성](multi-region-keys-overview.md#mrk-sync-properties)을 갖습니다.

**가져온 키 구성 요소가 있는 KMS 키 삭제**  
키 구성 요소가 있는 KMS 키의 키 구성 요소를 삭제하는 것은 일시적이며 되돌릴 수 있습니다. 키를 복원하려면 키 구성 요소를 다시 가져오세요.  
반면 KMS 키 삭제 작업은 되돌릴 수 없습니다. [키 삭제를 예약하고](#deleting-keys-how-it-works) 필요한 대기 기간이 만료되면는 KMS 키, 키 구성 요소 및 KMS 키와 연결된 모든 메타데이터를 AWS KMS 영구적이고 되돌릴 수 없습니다.  
하지만 가져온 키 구성 요소가 있는 KMS 키를 삭제할 경우의 위험과 결과는 KMS 키의 유형(‘키 사양’)에 따라 달라집니다.  
+ 대칭 암호화 키 - 대칭 암호화 KMS 키를 삭제하면 해당 키로 암호화된 나머지 모든 사이퍼텍스트를 복구할 수 없습니다. 동일한 키 구성 요소가 있더라도 삭제된 대칭 암호화 KMS 키의 사이퍼텍스트를 해독할 수 있는 새로운 대칭 암호화 KMS 키를 생성할 수 없습니다. 각 KMS 키에 고유한 메타데이터는 각 대칭 사이퍼텍스트에 암호화 방식으로 바인딩됩니다. 이 보안 기능은 대칭 사이퍼텍스트를 암호화한 KMS 키만 해당 사이퍼텍스트를 해독할 수 있도록 보장하지만, 동일한 KMS 키를 다시 생성할 수 없도록 합니다.
+ 비대칭 및 HMAC 키 - 원래 키 구성 요소가 있는 경우 삭제된 비대칭 또는 HMAC KMS 키와 동일한 암호화 속성을 사용하여 새 KMS 키를 생성할 수 있습니다.는 고유한 보안 기능을 포함하지 않는 표준 RSA 사이퍼텍스트 및 서명, ECC 서명 및 HMAC 태그를 AWS KMS 생성합니다. AWS외부의 HMAC 키 또는 비대칭 키 쌍의 프라이빗 키를 사용할 수도 있습니다.

  동일한 비대칭 또는 HMAC 키 구성 요소를 사용하여 생성한 새 KMS 키는 다른 키 식별자를 갖게 됩니다. 새 키 정책을 생성하고, 별칭을 다시 만들고, 새 키를 참조하도록 기존 IAM 정책 및 권한 부여를 업데이트해야 합니다.

**키 스토어에서 KMS AWS CloudHSM 키 삭제**  
키 스토어에서 KMS 키 삭제를 예약하면 AWS CloudHSM 키 [상태가](key-state.md) **삭제 보류** 중으로 변경됩니다. KMS 키는 **삭제 보류 중** 상태로 인해 KMS 키를 사용할 수 없게 되는 경우에도 대기 기간 동안[사용자 지정 키 스토어의 연결을 해제합니다.](disconnect-keystore.md). 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다.  
대기 기간이 만료되면가 KMS 키를 AWS KMS 삭제합니다 AWS KMS. 그런 다음 AWS KMS 는 연결된 AWS CloudHSM 클러스터에서 키 구성 요소를 삭제하기 위해 최선을 다합니다. AWS KMS에서 키 스토어의 연결이 해제된 경우처럼 AWS KMS 가 키 구성 요소를 삭제할 수 없는 경우에는 클러스터에서 수동으로 [불필요한 키 구성 요소를 삭제](fix-keystore.md#fix-keystore-orphaned-key)해야 할 수 있습니다.  
AWS KMS 는 클러스터 백업에서 키 구성 요소를 삭제하지 않습니다. 에서 KMS 키를 삭제 AWS KMS 하고 AWS CloudHSM 클러스터에서 키 구성 요소를 삭제하더라도 백업에서 생성된 클러스터에는 삭제된 키 구성 요소가 포함될 수 있습니다. 키 구성 요소를 영구적으로 삭제하려면 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 작업을 사용하여 KMS 키의 생성 날짜를 식별합니다. 그런 다음, 키 구성 요소가 포함되어 있을 수 있는 [모든 클러스터 백업을 삭제](https://docs.aws.amazon.com/cloudhsm/latest/userguide/delete-restore-backup.html)합니다.  
 AWS CloudHSM 키 스토어에서 KMS 키 삭제를 예약하면 KMS 키를 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 [데이터 키](data-keys.md)로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 AWS 서비스대부분 데이터 키를 사용하여 리소스를 보호하는 데 영향을 미칩니다. 자세한 내용은 [사용할 수 없는 KMS 키가 데이터 키에 미치는 영향](unusable-kms-keys.md)을 참조하세요.

**외부 키 저장소에서 KMS 키 삭제**  
외부 키 스토어에서 KMS 키를 삭제해도 키 구성 요소로 사용된 [외부 키](keystore-external.md#concept-external-key)에는 영향을 주지 않습니다.  
외부 키 스토어에서 KMS 키 삭제를 예약하면 [키 상태](key-state.md)가 **Pending deletion**(삭제 보류 중)으로 변경됩니다. [외부 키 스토어를 연결 해제](xks-connect-disconnect.md)하여 KMS 키를 사용할 수 없게 되더라도 KMS 키는 대기 기간 내내 **Pending deletion**(삭제 보류 중) 상태로 유지됩니다. 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다. 대기 기간이 만료되면가 KMS 키를 AWS KMS 삭제합니다 AWS KMS.  
외부 키 스토어에서 KMS 키 삭제를 예약하면 KMS 키는 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 [데이터 키](data-keys.md)로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 리소스를 보호하기 위해 데이터 키를 사용하는 AWS 서비스에 영향을 미칩니다. 자세한 내용은 [사용할 수 없는 KMS 키가 데이터 키에 미치는 영향](unusable-kms-keys.md)을 참조하세요.