의 별칭 AWS KMS - AWS Key Management Service
별칭의 작동 방식

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 별칭 AWS KMS

별칭은 AWS KMS key의 알아보기 쉬운 다른 이름입니다. 예를 들어 별칭을 사용하면 KMS 키를 test-key 대신 로 참조할 수 있습니다1234abcd-12ab-34cd-56ef-1234567890ab.

별칭을 사용하여 AWS KMS 콘솔, DescribeKey 작업 및 암호화 작업에서 암호화 및 와 같은 KMS 키를 식별할 수 있습니다GenerateDataKey. 별칭을 사용하면 쉽게 AWS 관리형 키를 인식할 수 있습니다. 이러한 KMS 키의 별칭에는 항상 형식이 있습니다aws/<service-name>. 예를 들어 Amazon DynamoDB AWS 관리형 키 용 의 별칭은 입니다aws/dynamodb. 별칭을 프로젝트 또는 범주 이름으로 시작하는 것처럼 프로젝트에 비슷한 별칭 표준을 설정할 수 있습니다.

정책을 편집하거나 권한 부여를 관리하지 않고도 별칭을 기반으로 KMS 키에 대한 액세스를 허용하고 거부할 수도 있습니다. 이 기능은 속성 기반 액세스 제어() AWS KMS 지원의 일부입니다ABAC. 세부 정보는 별칭을 사용하여 KMS 키에 대한 액세스 제어을 참조하세요.

별칭의 성능은 대부분 언제든지 별칭과 연결된 KMS 키를 변경할 수 있는 기능에서 비롯됩니다. 별칭을 사용하면 코드를 더 쉽게 작성하고 유지 관리할 수 있습니다. 예를 들어 별칭을 사용하여 특정 KMS 키를 참조하고 KMS 키를 변경하려는 경우를 가정해 보겠습니다. 이 경우 별칭을 다른 KMS 키와 연결하기만 하면 됩니다. 코드를 변경할 필요가 없습니다.

또한 별칭을 사용하면 다른 AWS 리전에서 동일한 코드를 더 쉽게 재사용할 수 있습니다. 여러 리전에서 이름이 동일한 별칭을 생성하고 각 별칭을 해당 리전의 KMS 키와 연결합니다. 코드가 각 리전에서 실행되면 별칭은 해당 리전의 연결된 KMS 키를 나타냅니다. 예시는 애플리케이션에서 별칭을 사용하는 방법 알아보기에서 확인하십시오.

AWS KMS 콘솔에서 를 사용하거나 ::::Alias 템플릿 CreateAlias 을 API사용하여 KMS 키의 별칭을 생성할 수 있습니다. AWSKMS AWS CloudFormation

AWS KMS API 는 각 계정 및 리전의 별칭을 완벽하게 제어합니다. 에는 별칭()을 생성하고CreateAlias, 별칭 이름 및 별칭ARNs()을 보고ListAliases, 별칭(UpdateAlias)과 연결된 KMS 키를 변경하고, 별칭()을 삭제하는 작업이 API 포함되어 있습니다DeleteAlias.

별칭의 작동 방식

AWS KMS에서 별칭의 작동 방식을 알아봅니다.

별칭은 독립 AWS 리소스입니다.

별칭은 KMS 키의 속성이 아닙니다. 별칭에 대해 수행하는 작업은 연결된 KMS 키에 영향을 주지 않습니다. KMS 키에 대한 별칭을 생성한 다음 별칭이 다른 KMS 키와 연결되도록 업데이트할 수 있습니다. 연결된 KMS 키에 영향을 주지 않고 별칭을 삭제할 수도 있습니다. 하지만 KMS 키를 삭제하면 해당 KMS 키와 연결된 모든 별칭이 삭제됩니다.

IAM 정책에서 별칭을 리소스로 지정하는 경우 정책은 연결된 KMS 키가 아닌 별칭을 참조합니다.

각 별칭에는 두 가지 형식이 있습니다.

별칭을 생성할 때 별칭 이름을 지정합니다. AWS KMS 는 ARN 별칭을 생성합니다.

  • 별칭ARN은 별칭을 고유하게 식별하는 Amazon 리소스 이름(ARN)입니다.

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • 계정 및 리전에서 고유한 별칭 이름입니다. 에서 별칭 이름 AWS KMS API에는 항상 접두사가 붙습니다alias/. AWS KMS 콘솔에서 이 접두사가 생략됩니다.

    # Alias name
alias/<alias-name>
별칭은 비밀이 아닙니다.

별칭은 CloudTrail 로그 및 기타 출력의 일반 텍스트로 표시될 수 있습니다. 별칭 이름에 기밀 또는 민감한 정보를 포함시키지 마십시오.

각 별칭은 한 번에 하나의 KMS 키와 연결됩니다.

별칭과 해당 KMS 키는 동일한 계정과 리전에 있어야 합니다.

별칭을 동일한 AWS 계정 및 리전의 모든 고객 관리형 키와 연결할 수 있습니다. 그러나 별칭을 AWS 관리형 키와 연결할 수 있는 권한은 없습니다.

예를 들어, 이 ListAliases 출력은 test-key별칭이 TargetKeyId 속성으로 표시되는 정확히 하나의 대상 KMS 키와 연결되어 있음을 보여줍니다.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
여러 별칭을 동일한 KMS 키와 연결할 수 있습니다.

예를 들어 test-keyproject-key별칭을 동일한 KMS 키와 연결할 수 있습니다.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
별칭은 계정 및 리전 내에서 고유해야 합니다.

예를 들어, 각 계정 및 리전에서 오직 한 개의 test-key 별칭만 가질 수 있습니다. 별칭은 대소문자를 구분하지만 대소문자만 다른 별칭은 오류가 발생하기 쉽습니다. 별칭 이름은 변경할 수 없습니다. 그러나 별칭을 삭제하고 원하는 이름으로 새 별칭을 생성할 수 있습니다.

다른 리전에서 같은 이름으로 별칭을 만들 수 있습니다.

예를 들어, 미국 동부(버지니아 북부)에 finance-key 별칭이 있고 유럽(프랑크푸르트)에 finance-key 별칭이 있을 수 있습니다. 각 별칭은 해당 리전의 KMS 키와 연결됩니다. 코드가 alias/finance-key와 같은 별칭 이름을 참조하는 경우 여러 리전에서 실행할 수 있습니다. 각 리전에서 다른 KMS 키를 사용합니다. 세부 정보는 애플리케이션에서 별칭을 사용하는 방법 알아보기을 참조하세요.

별칭과 연결된 KMS 키를 변경할 수 있습니다.

UpdateAlias 작업을 사용하여 별칭을 다른 KMS 키와 연결할 수 있습니다. 예를 들어 finance-key별칭이 1234abcd-12ab-34cd-56ef-1234567890ab KMS 키와 연결된 경우 0987dcba-09fe-87dc-65ba-ab0987654321 KMS 키와 연결되도록 별칭을 업데이트할 수 있습니다.

그러나 현재 키와 새 KMS 키는 동일한 유형(대칭 또는 비대칭 또는 둘 다HMAC)이어야 하며 키 사용량(ENCRYPT_DECRYPT 또는 SIGN_VERIFY 또는 GENERATE_VERIFY_)이 동일해야 합니다MAC. 이 제한은 별칭을 사용하는 코드의 오류를 방지합니다. 별칭을 다른 유형의 키와 연결해야 하고 위험을 완화한 경우 별칭을 삭제하고 다시 만들 수 있습니다.

일부 KMS 키에는 별칭이 없습니다.

AWS KMS 콘솔에서 KMS 키를 생성할 때 새 별칭을 지정해야 합니다. 하지만 CreateKey 작업을 사용하여 KMS 키를 생성할 때는 별칭이 필요하지 않습니다. 또한 UpdateAlias 작업을 사용하여 별칭과 연결된 KMS 키를 변경하고 DeleteAlias 작업을 사용하여 별칭을 삭제할 수 있습니다. 따라서 일부 KMS 키에는 별칭이 여러 개 있을 수 있으며 일부는 없을 수 있습니다.

AWS 계정에 별칭 생성

AWS 는 계정에 별칭을 생성합니다AWS 관리형 키. 이러한 별칭에는 alias/aws/<service-name> 형식의 이름(예: alias/aws/s3)이 있습니다.

일부 AWS 별칭에는 KMS 키가 없습니다. 이러한 사전 정의된 별칭은 일반적으로 서비스 사용을 시작할 AWS 관리형 키 때 와 연결됩니다.

별칭을 사용하여 KMS 키 식별

별칭 이름 또는 별칭ARN을 사용하여 암호화 작업 , DescribeKey및 에서 KMS 키를 식별할 수 있습니다GetPublicKey. (KMS키가 다른 에 AWS 계정있는 경우 키 ARN 또는 별칭을 사용해야 합니다ARN.) 별칭은 다른 AWS KMS 작업의 KMS 키에 유효한 식별자가 아닙니다. 각 AWS KMS API 작업의 유효한 키 식별자에 대한 자세한 내용은 AWS Key Management Service API 참조KeyId 파라미터 설명을 참조하세요.

별칭 이름 또는 별칭을 사용하여 정책 에서 키를 ARN 식별할 수 없습니다. KMS IAM 별칭을 기반으로 KMS 키에 대한 액세스를 제어하려면 kms:RequestAlias 또는 kms:ResourceAliases 조건 키를 사용합니다. 세부 정보는 AWS KMS의 ABAC을 참조하세요.