KMS 키 활성화 및 비활성화 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

KMS 키 활성화 및 비활성화

고객 관리형 키를 비활성화했다가 다시 활성화할 수 있습니다. KMS 키를 생성하면 필터가 기본적으로 활성화됩니다. KMS 키를 비활성화하면 다시 활성화할 때까지 어떠한 암호화 작업에서도 사용할 수 없습니다.

KMS 키를 비활성화하는 것은 일시적이고 쉽게 취소할 수 있으므로 파괴적이고 되돌릴 수 없는 작업인 KMS 키 삭제에 비해 안전한 대안입니다. KMS 키 삭제를 고려하는 경우 먼저 키를 비활성화하고, 암호화된 데이터를 해독하기 위해 키를 사용할 필요가 없도록 CloudWatch 경보 또는 유사한 메커니즘을 설정합니다.

KMS 키를 비활성화하면 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 데이터 키로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 리소스를 보호하기 위해 데이터 키를 사용하는 AWS 서비스에 영향을 미칩니다. 자세한 내용은 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향 섹션을 참조하세요.

AWS 관리형 키 또는 AWS 소유 키를 활성화나 비활성화할 수 없습니다. AWS 관리형 키는 AWS KMS를 사용하는 서비스에서 사용하도록 영구 활성화됩니다. AWS 소유 키는 이를 소유한 서비스에 의해서만 관리됩니다.

참고

AWS KMS는 는 비활성화되어 있는 동안 고객 관리 키의 키 구성 요소를 교체하지 않습니다. 자세한 정보는 키 교체의 작동 방식 섹션을 참조하세요.

AWS KMS 콘솔을 사용하여 고객 관리형 키를 활성화 및 비활성화할 수 있습니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 활성화하거나 비활성화할 KMS 키의 확인란을 선택합니다.

  5. KMS 키를 활성화하려면 키 작업(Key actions), 활성화(Enable)를 선택합니다. KMS 키를 비활성화하려면 키 작업(Key actions), 비활성화(Disable)를 선택합니다.

EnableKey 작업은 비활성화된 AWS KMS key을 활성화합니다. 이 예제들은 AWS Command Line Interface(AWS CLI)를 사용하지만, 사용자는 어떤 지원되는 프로그래밍 언어라도 사용할 수 있습니다. key-id 파라미터가 필요합니다.

이 작업은 출력을 반환하지 않습니다. 키 상태를 보려면 DescribeKey 작업을 사용합니다.

$ aws kms enable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

DisableKey 작업은 활성화된 KMS 키를 비활성화합니다. key-id 파라미터가 필요합니다.

$ aws kms disable-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

이 작업은 출력을 반환하지 않습니다. 키 상태를 보려면 DescribeKey 작업을 사용하고 Enabled 필드를 확인합니다.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "MultiRegion": false,
        "Enabled": false,
        "KeyState": "Disabled",
        "KeyUsage": "ENCRYPT_DECRYPT",        
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}