KMS 키 세부 정보 액세스 및 나열 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

KMS 키 세부 정보 액세스 및 나열

AWS KMS 콘솔 또는 DescribeKey 작업을 사용하여 계정 및 리전의 KMS 키에 대한 상세한 정보에 액세스하고 나열할 수 있습니다.

다음 절차에서는 키 ID, 키 사양, 키 사용 등과 같은 KMS 키 세부 정보에 액세스하는 방법을 보여줍니다.

각 KMS 키의 세부 정보 페이지에는 KMS 키의 속성이 표시됩니다. 세부 정보는 KMS 키의 종류에 따라 약간 다릅니다.

KMS 키에 대한 세부 정보 페이지를 표시하려면 AWS 관리형 키 또는 고객 관리형 키 페이지에서 KMS 키의 별칭 또는 키 ID를 선택합니다.

KMS 키의 세부 정보 페이지에는 KMS 키의 기본 속성을 표시하는 일반 구성 섹션이 있습니다. 키 정책, 암호화 구성, 태그, 키 구성 요소(가져온 키 구성 요소가 있는 KMS 키의 경우), 키 교체(대칭 암호화 KMS 키의 경우), 리전 구분(다중 리전 키의 경우) 및 퍼블릭 키(비대칭 KMS 키의 경우)와 같은 KMS 키의 속성을 보고 편집할 수 있는 탭도 포함되어 있습니다.

참고

AWS KMS 콘솔에는 사용자가 계정 및 리전에서 볼 수 있는 권한이 있는 KMS 키가 표시됩니다. 다른 AWS 계정의 KMS 키는 해당 키를 보고 관리하고 사용하 ㄹ수 있는 권한이 있더라도 콘솔에 표시되지 않습니다. 다른 계정의 KMS 키를 보려면 DescribeKey 작업을 사용합니다.

KMS 키의 키 세부 정보 페이지로 이동

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 고객 관리형 키를 선택합니다. AWS에서 계정을 위해 직접 생성하고 관리하는 키를 보려면 탐색 창에서 AWS 고객 관리형 키를 선택합니다.

  4. 키 세부 정보 페이지를 열려면 키 테이블에서 KMS 키의 키 ID 또는 별칭을 선택합니다.

    KMS 키에 여러 별칭이 있는 경우 별칭 요약(n개 이상)이 별칭 중 하나의 이름 옆에 나타납니다. 별칭 요약을 선택하면 키 세부 정보 페이지의 별칭 탭으로 바로 이동합니다.

고객 관리형 키 details showing general configuration and cryptographic settings.

다음 목록에서는 탭의 필드를 포함하여 세부 정보 표시의 필드에 대해 설명합니다. 이러한 필드 중 일부는 테이블 표시의 열로 사용할 수도 있습니다.

에일리어스

위치: 별칭 탭

KMS 키의 기억하기 쉬운 이름입니다. 별칭을 사용하여 콘솔 및 일부 AWS KMS API에서 KMS 키를 식별할 수 있습니다. 자세한 내용은 의 별칭 AWS KMS 섹션을 참조하십시오.

별칭 탭에는 KMS 키와 연결된 모든 별칭이 AWS 계정 및 리전에 표시됩니다.

ARN

위치: 일반 구성 섹션

KMS 키의 Amazon 리소스 이름(ARN)입니다. 이 값은 KMS 키를 고유하게 식별합니다. AWS KMS API 작업에서 KMS 키를 식별하는 데 사용할 수 있습니다.

연결 상태

사용자 지정 키 스토어가 백업 키 스토어에 연결되었는지 여부를 나타냅니다. 이 필드는 KMS 키가 사용자 지정 키 스토어에서 생성된 경우에만 나타납니다.

이 필드의 값에 대한 자세한 내용은 AWS KMS API 참조의 ConnectionState를 참조하세요.

생성 날짜

위치: 일반 구성 섹션

KMS 키를 생성한 날짜와 시간입니다. 이 값은 디바이스의 로컬 시간으로 표시됩니다. 시간대는 리전에 의존하지 않습니다.

만료와 달리 생성은 키 구성 요소가 아니라 KMS 키만 참조합니다.

CloudHSM 클러스터 ID

위치: 암호화 구성 탭

KMS 키에 대한 키 구성 요소가 포함된 AWS CloudHSM 클러스터의 클러스터 ID입니다. 이 필드는 KMS 키가 사용자 지정 키 스토어에서 생성된 경우에만 나타납니다.

CloudHSM 클러스터 ID를 선택하면 AWS CloudHSM 콘솔의 클러스터 페이지가 열립니다.

사용자 지정 키 스토어 ID

위치: 암호화 구성 탭

KMS 키가 포함된 사용자 지정 키 스토어의 ID입니다. 이 필드는 KMS 키가 사용자 지정 키 스토어에서 생성된 경우에만 나타납니다.

사용자 지정 키 스토어 ID를 선택하면 AWS KMS 콘솔에서 사용자 지정 키 스토어 페이지가 열립니다.

사용자 지정 키 스토어 이름

위치: 암호화 구성 탭

KMS 키가 포함된 사용자 지정 키 스토어의 이름입니다. 이 필드는 KMS 키가 사용자 지정 키 스토어에서 생성된 경우에만 나타납니다.

사용자 지정 키 스토어 유형

위치: 암호화 구성 탭

사용자 지정 키 스토어가 AWS CloudHSM 키 스토어인지 외부 키 스토어인지를 나타냅니다. 이 필드는 KMS 키가 사용자 지정 키 스토어에서 생성된 경우에만 나타납니다.

설명

위치: 일반 구성 섹션

작성 및 편집할 수 있는 KMS 키에 대한 간략한 설명(선택 사항)입니다. 고객 관리형 키에 대한 설명을 추가하거나 업데이트하려면 일반 구성(General Configuration) 위에서 편집(Edit)을 선택합니다.

암호화 알고리즘

위치: 암호화 구성 탭

AWS KMS의 KMS 키와 함께 사용할 수 있는 암호화 알고리즘을 나열합니다. 이 필드는 키 유형비대칭이고 키 사용암호화 및 암호 해독인 경우에만 표시됩니다. AWS KMS가 지원하는 암호화 알고리즘에 대한 자세한 내용은 SYMMETRIC_DEFAULT 키 사양암호화 및 해독을 위한 RSA 키 사양을 참조하세요.

만료 날짜

위치: 키 구성 요소 탭

KMS 키의 키 구성 요소가 만료되는 날짜 및 시간입니다. 이 필드는 가져온 키 구성 요소가 있는 KMS 키, 즉 오리진(Origin)외부(External)이고 KMS 키에 만료되는 키 구성 요소가 있는 경우에만 표시됩니다.

외부 키 ID

위치: 암호화 구성 탭

외부 키 스토어의 KMS 키와 연결된 외부 키의 ID입니다. 이 필드는 외부 키 스토어의 KMS 키에만 표시됩니다.

외부 키 상태

위치: 암호화 구성 탭

외부 키 스토어 프록시가 KMS 키와 연결된 외부 키에 대해 보고한 가장 최근 상태입니다. 이 필드는 외부 키 스토어의 KMS 키에만 표시됩니다.

외부 키 사용

위치: 암호화 구성 탭

KMS 키와 연결된 외부 키에서 활성화된 암호화 작업입니다. 이 필드는 외부 키 스토어의 KMS 키에만 표시됩니다.

키 정책

위치: 키 정책 탭

IAM 정책권한 부여와 함께 KMS 키에 대한 액세스를 제어합니다. 모든 KMS 키에는 하나의 키 정책이 있습니다. 이것이 유일한 필수 권한 부여 요소입니다. 고객 관리형 키의 키 정책을 변경하려면 키 정책(Key policy) 탭에서 편집(Edit)을 선택합니다. 자세한 내용은 의 키 정책 AWS KMS 섹션을 참조하세요.

키 교체

위치: 키 교체 탭

고객 관리 KMS 키에서 키 구성 요소의 자동 교체를 활성화 및 비활성화합니다. 고객 관리형 키의 키 교체 상태를 변경하려면 키 교체(Key rotation) 탭의 확인란을 사용합니다.

AWS 관리형 키에서 키 구성 요소의 교체를 활성화하거나 비활성화할 수 없습니다. AWS 관리형 키는 매년 자동으로 교체됩니다.

키 사양

위치: 암호화 구성 탭

KMS 키에 있는 키 구성 요소의 유형입니다. AWS KMS는 대칭 암호화 KMS 키(SYMMETRIC_DEFAULT), 다양한 길이의 HMAC KMS 키, 다양한 길이의 RSA 키에 대한 KMS 키, 다양한 곡선의 타원 곡선 키를 지원합니다. 자세한 내용은 Key spec 섹션을 참조하세요.

키 유형

위치: 암호화 구성 탭

KMS 키가 대칭 또는 비대칭인지 여부를 나타냅니다.

키 사용

위치: 암호화 구성 탭

KMS 키를 암호화 및 해독(Encrypt and decrypt), 서명 및 확인(Sign and verify) 또는 MAC 생성 및 확인(Generate and verify MAC)에 사용할 수 있는지 여부를 나타냅니다. 자세한 내용은 Key usage 섹션을 참조하세요.

오리진(Origin)

위치: 암호화 구성 탭

KMS 키에 대한 키 구성 요소의 출처입니다. 유효한 값은 다음과 같습니다.

MAC 알고리즘

위치: 암호화 구성 탭

AWS KMS의 HMAC KMS 키와 함께 사용할 수 있는 MAC 알고리즘을 나열합니다. 이 필드는 키 사양(Key spec)이 HMAC 키 사양(HMAC_*)인 경우에만 나타납니다. AWS KMS가 지원하는 MAC 알고리즘에 대한 자세한 내용은 HMAC KMS 키의 키 사양 섹션을 참조하세요.

프라이머리 키

위치: 리전 구분 탭

이 KMS 키가 다중 리전 기본 키임을 나타냅니다. 권한이 있는 사용자는 이 섹션을 사용하여 다른 관련 다중 리전 키로 기본 키를 변경할 수 있습니다. 이 필드는 KMS 키가 다중 리전 기본 키인 경우에만 나타납니다.

퍼블릭 키

위치: 공개 키 탭

비대칭 KMS 키의 퍼블릭 키를 표시합니다. 권한이 부여된 사용자는 이 탭을 사용하여 퍼블릭 키를 복사하고 다운로드할 수 있습니다.

분류: 리전 구분

위치: 일반 구성 섹션 및 리전 구분(Regionality) 탭

KMS 키가 단일 리전 키, 다중 리전 기본 키 또는 다중 리전 복제본 키인지 여부를 나타냅니다. 이 필드는 KMS 키가 다중 리전 키인 경우에만 나타납니다.

관련 다중 리전 키

위치: 리전 구분 탭

현재 KMS 키를 제외한 모든 관련 다중 리전 기본 및 복제본 키를 표시합니다. 이 필드는 KMS 키가 다중 리전 키인 경우에만 나타납니다.

기본 키의 관련 다중 리전 키 섹션에서 권한 부여된 사용자는 새 복제본 키를 생성할 수 있습니다.

복제본 키

위치: 리전 구분 탭

이 KMS 키가 다중 리전 복제본 키임을 나타냅니다. 이 필드는 KMS 키가 다중 리전 복제본 키인 경우에만 나타납니다.

서명 알고리즘

위치: 암호화 구성 탭

AWS KMS의 KMS 키와 함께 사용할 수 있는 서명 알고리즘을 나열합니다. 이 필드는 키 유형비대칭이고 키 사용서명 및 확인인 경우에만 표시됩니다. AWS KMS가 지원하는 서명 알고리즘에 대한 자세한 내용은 서명 및 확인을 위한 RSA 키 사양타원 곡선 키 사양을 참조하세요.

상태 표시기

위치: 일반 구성 섹션

KMS 키의 키 상태입니다. KMS 키는 상태가 활성화됨(Enabled)인 경우에만 암호화 작업(cryptographic operations)에 사용할 수 있습니다. 각 KMS 키 상태와 KMS 키에서 실행할 수 있는 작업에 미치는 영향에 대한 자세한 설명은 AWS KMS 키의 키 상태 섹션을 참조하십시오.

Tags

위치: 태그 탭

KMS 키를 설명하는 키-값 페어(선택 사항)입니다. KMS 키의 태그를 추가하거나 변경하려면 태그 탭에서 편집을 선택합니다.

AWS 리소스에 태그를 추가하면 AWS에서 사용 내역 및 비용을 태그별로 집계한 비용 할당 보고서를 생성합니다. KMS 키에 대한 액세스를 제어하는 데에도 태그를 사용할 수 있습니다. KMS 키 태그 지정에 대한 자세한 내용은 의 태그 AWS KMSAWS KMS의 ABAC 섹션을 참조하십시오.

DescribeKey 작업은 지정된 KMS 키에 관한 세부 정보를 반환합니다. KMS 키를 식별하려면 키 ID, 키 ARN, 별칭 이름 또는 별칭 ARN을 사용합니다.

호출자의 계정과 리전에 있는 KMS 키만 표시하는 ListKeys 작업과 달리, 권한이 있는 사용자는 DescribeKey 작업을 사용하여 다른 계정의 KMS 키에 대한 세부 정보를 얻을 수 있습니다.

참고

DescribeKey 응답에는 KeySpecCustomerMasterKeySpec 멤버가 모두 포함됩니다. CustomerMasterKeySpec 멤버는 더 이상 사용되지 않습니다.

예를 들면, DescribeKey 호출은 대칭 암호화 KMS 키에 관한 정보를 반환합니다. 응답에 포함되는 필드는 AWS KMS key 사양, 키 상태키 구성 요소 오리진(key material origin)에 따라 달라집니다. 다양한 프로그래밍 언어의 예는 또는와 DescribeKeyAWS SDK 함께 사용 CLI 섹션을 참조하십시오.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1499988169.234,
        "MultiRegion": false,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

이 예제에서는 서명 및 확인에 사용되는 비대칭 KMS 키에 대한 DescribeKey 작업을 호출합니다. 응답에는 AWS KMS가 이 KMS 키에 대해 지원하는 서명 알고리즘이 포함됩니다.

$ aws kms describe-key --key-id 0987dcba-09fe-87dc-65ba-ab0987654321

{
    "KeyMetadata": {        
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Origin": "AWS_KMS",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "KeyState": "Enabled",
        "KeyUsage": "SIGN_VERIFY",
        "CreationDate": 1569973196.214,
        "Description": "",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "AWSAccountId": "111122223333",
        "Enabled": true,
        "MultiRegion": false,
        "KeyManager": "CUSTOMER",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ]
    }
}