의 별칭 AWS KMS - AWS Key Management Service
별칭의 작동 방식

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 별칭 AWS KMS

별칭은 AWS KMS key의 알아보기 쉬운 다른 이름입니다. 예를 들어 별칭을 사용하면 KMS 키를 1234abcd-12ab-34cd-56ef-1234567890ab 대신 test-key로 지칭할 수 있습니다.

별칭을 사용하여 AWS KMS 콘솔, DescribeKey 작업 및 EncryptGenerateDataKey와 같은 암호화 작업에서 KMS 키를 식별할 수 있습니다. 별칭을 사용하면 쉽게 AWS 관리형 키를 인식할 수 있습니다. 이러한 KMS 키의 별칭은 항상 aws/<service-name> 형식으로 되어 있습니다. 예를 들어 Amazon DynamoDB AWS 관리형 키 용의 별칭은 입니다aws/dynamodb. 별칭을 프로젝트 또는 범주 이름으로 시작하는 것처럼 프로젝트에 비슷한 별칭 표준을 설정할 수 있습니다.

정책을 편집하거나 권한 부여를 관리하지 않고도 별칭을 기반으로 KMS 키에 대한 액세스를 허용하거나 거부할 수도 있습니다. 이 기능은 속성 기반 액세스 제어(ABAC) AWS KMS 지원의 일부입니다. 세부 정보는 별칭을 사용하여 KMS 키에 대한 액세스 제어을 참조하세요.

별칭의 강력한 기능은 언제든지 별칭과 연결된 KMS 키를 변경할 수 있는 기능에서 비롯됩니다. 별칭을 사용하면 코드를 더 쉽게 작성하고 유지 관리할 수 있습니다. 예를 들어 별칭을 사용하여 특정 KMS 키를 참조하고 KMS 키를 변경한다고 가정합니다. 이 경우 별칭을 다른 KMS 키와 연결하기만 하면 됩니다. 코드를 변경할 필요가 없습니다.

또한 별칭을 사용하면 다른 AWS 리전에서 동일한 코드를 더 쉽게 재사용할 수 있습니다. 여러 리전에서 동일한 이름의 별칭을 만들고 각 별칭을 해당 리전의 KMS 키와 연결합니다. 각 리전에서 코드가 실행되는 경우 별칭은 해당 리전의 연결된 KMS 키를 참조합니다. 예시는 애플리케이션에서 별칭을 사용하는 방법 알아보기에서 확인하십시오.

AWS KMS 콘솔에서 CreateAlias API를 사용하거나 AWS::KMS::Alias AWS CloudFormation 템플릿을 사용하여 KMS 키의 별칭을 생성할 수 있습니다.

AWS KMS API는 각 계정 및 리전의 별칭을 완벽하게 제어할 수 있습니다. API에는 별칭 생성(CreateAlias), 별칭 이름 및 별칭 ARN 보기(ListAliases), 별칭과 연결된 KMS 키 변경(UpdateAlias), 별칭 삭제(DeleteAlias) 작업이 포함됩니다.

별칭의 작동 방식

AWS KMS에서 별칭의 작동 방식을 알아봅니다.

별칭은 독립적인 AWS 리소스입니다.

별칭은 KMS 키의 속성이 아닙니다. 별칭에 대해 수행하는 작업은 연결된 KMS 키에 영향을 주지 않습니다. KMS 키의 별칭을 만든 다음 다른 KMS 키와 연결되도록 별칭을 업데이트할 수 있습니다. 연결된 KMS 키에 영향을 주지 않고 별칭을 삭제할 수도 있습니다. 그러나 KMS 키를 삭제하면 해당 KMS 키와 연결된 모든 별칭이 삭제됩니다.

IAM 정책에서 별칭을 리소스로 지정하는 경우 정책은 연결된 KMS 키가 아니라 별칭을 참조합니다.

각 별칭에는 두 가지 형식이 있습니다.

별칭을 생성할 때 별칭 이름을 지정합니다.는 별칭 ARN을 AWS KMS 생성합니다.

  • 별칭 ARN은 별칭을 고유하게 식별하는 Amazon 리소스 이름(ARN)입니다.

    # Alias ARN
arn:aws:kms:us-west-2:111122223333:alias/<alias-name>

  • 계정 및 리전에서 고유한 별칭 이름입니다. AWS KMS API에서 별칭 이름은 항상 접두사로 지정됩니다alias/. AWS KMS 콘솔에서는이 접두사가 생략됩니다.

    # Alias name
alias/<alias-name>
별칭은 비밀이 아닙니다.

별칭은 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다. 별칭 이름에 기밀 또는 민감한 정보를 포함시키지 마십시오.

각 별칭은 한 번에 하나의 KMS 키와 연결됩니다.

별칭과 별칭의 KMS 키는 동일한 계정 및 리전에 있어야 합니다.

별칭을 동일한 AWS 계정 및 리전의 모든 고객 관리형 키와 연결할 수 있습니다. 그러나 별칭을 AWS 관리형 키와 연결할 수 있는 권한은 없습니다.

예를 들어 이 ListAliases 출력은 test-key 별칭이 TargetKeyId 속성으로 표시되는 정확히 하나의 대상 KMS 키와 연결되어 있음을 보여줍니다.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
}
동일한 KMS 키와 여러 별칭을 연결할 수 있습니다.

예를 들어, test-keyproject-key 별칭을 동일한 KMS 키로 연결할 수 있습니다.

{
     "AliasName": "alias/test-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/test-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1593622000.191,
     "LastUpdatedDate": 1593622000.191
},
{
     "AliasName": "alias/project-key",
     "AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/project-key",
     "TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
     "CreationDate": 1516435200.399,
     "LastUpdatedDate": 1516435200.399
}
별칭은 계정 및 리전 내에서 고유해야 합니다.

예를 들어, 각 계정 및 리전에서 오직 한 개의 test-key 별칭만 가질 수 있습니다. 별칭은 대소문자를 구분하지만 대소문자만 다른 별칭은 오류가 발생하기 쉽습니다. 별칭 이름은 변경할 수 없습니다. 그러나 별칭을 삭제하고 원하는 이름으로 새 별칭을 생성할 수 있습니다.

다른 리전에서 같은 이름으로 별칭을 만들 수 있습니다.

예를 들어, 미국 동부(버지니아 북부)에 finance-key 별칭이 있고 유럽(프랑크푸르트)에 finance-key 별칭이 있을 수 있습니다. 각 별칭은 해당 리전의 KMS 키와 연결됩니다. 코드가 alias/finance-key와 같은 별칭 이름을 참조하는 경우 여러 리전에서 실행할 수 있습니다. 각 리전에서는 다른 KMS 키를 사용합니다. 자세한 내용은 애플리케이션에서 별칭을 사용하는 방법 알아보기 섹션을 참조하세요.

별칭과 연결된 KMS 키를 변경할 수 있습니다.

UpdateAlias 작업을 사용하여 별칭을 다른 KMS 키와 연결할 수 있습니다. 예를 들어, finance-key 별칭이 1234abcd-12ab-34cd-56ef-1234567890ab KMS 키와 연결된 경우 0987dcba-09fe-87dc-65ba-ab0987654321 KMS 키와 연결되도록 업데이트할 수 있습니다.

그러나 현재 KMS 키와 새 KMS 키는 동일한 유형(모두 대칭, 모두 비대칭 또는 모두 HMAC)이어야 하며 키 사용(ENCRYPT_DECRYPT, SIGN_VERIFY 또는 GENERATE_VERIFY_MAC)이 동일해야 합니다. 이 제한은 별칭을 사용하는 코드의 오류를 방지합니다. 별칭을 다른 유형의 키와 연결해야 하고 위험을 완화한 경우 별칭을 삭제하고 다시 만들 수 있습니다.

일부 KMS 키에는 별칭이 없습니다.

AWS KMS 콘솔에서 KMS 키를 생성할 때 새 별칭을 지정해야 합니다. 그러나 CreateKey 작업을 사용하여 KMS 키를 만들 때는 별칭이 필요하지 않습니다. 또한 UpdateAlias 작업을 사용하여 별칭과 연결된 KMS 키를 변경하고 DeleteAlias 작업을 사용하여 별칭을 삭제할 수 있습니다. 따라서 일부 KMS 키에는 별칭이 여러 개 있을 수 있으며 일부 키에는 별칭이 없을 수도 있습니다.

AWS 는 계정에 별칭을 생성합니다.

AWS 는 계정에 별칭을 생성합니다AWS 관리형 키. 이러한 별칭에는 alias/aws/<service-name> 형식의 이름(예: alias/aws/s3)이 있습니다.

일부 AWS 별칭에는 KMS 키가 없습니다. 이러한 사전 정의된 별칭은 일반적으로 서비스 사용을 시작할 AWS 관리형 키 때와 연결됩니다.

별칭을 사용하여 KMS 키 식별

별칭 이름 또는 별칭 ARN을 사용하여 암호화 작업, DescribeKeyGetPublicKey에서 KMS 키를 식별할 수 있습니다. (KMS 키가 다른 AWS 계정에 있는 경우 해당 키 ARN 또는 별칭 ARN을 사용해야 합니다.) 별칭은 다른 AWS KMS 작업의 KMS 키에 대한 유효한 식별자가 아닙니다. 각 AWS KMS API 작업의 유효한 키 식별자에 대한 자세한 내용은 AWS Key Management Service API 참조KeyId 파라미터 설명을 참조하세요.

별칭 이름이나 별칭 ARN을 사용하여 IAM 정책에서 KMS 키를 식별할 수 없습니다. 별칭을 기반으로 KMS 키에 대한 액세스를 제어하려면 kms:RequestAlias 또는 kms:ResourceAliases 조건 키를 사용합니다. 세부 정보는 에 대한 ABAC AWS KMS을 참조하세요.