다중 리전 키의 작동 방식 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 리전 키의 작동 방식

먼저 미국 동부(버지니아 북부)와 같이 AWS KMS가 지원하는 AWS 리전의 대칭 또는 비대칭 다중 리전 기본 키를 생성합니다. 키를 만들 때만 키가 단일 리전인지 또는 다중 리전인지를 결정합니다. 나중에 이 속성을 변경할 수 없습니다. 다른 KMS 키와 마찬가지로 다중 리전 키에 대한 키 정책을 설정하고 권한 부여를 만들고 분류 및 권한 부여를 위한 별칭 및 태그를 추가할 수 있습니다. (이들은 다른 키와 공유되거나 동기화되지 않는 독립적인 속성입니다.) 암호화 또는 서명에 대한 암호화 작업에 다중 리전 기본 키를 사용할 수 있습니다.

AWS KMS 콘솔에서 또는 MultiRegion 파라미터가 true로 설정된 CreateKey API를 사용하여 다중 리전 기본 키를 생성할 수 있습니다. 다중 리전 키에는 mrk-로 시작하는 구분 키 ID가 있습니다. mrk- 접두사를 사용하여 프로그래밍 방식으로 MRK를 식별할 수 있습니다.

Multi-Region primary key icon with red key symbol and sample key ID format.

선택하는 경우 다중 리전 기본 키를 유럽(아일랜드)과 같은 동일한 AWS 파티션에 있는 하나 이상의 다른 AWS 리전에 복제할 수 있습니다. 그렇게 할 때 AWS KMS는 기본 키와 동일한 키 ID 및 기타 공유 속성을 사용하여 지정된 리전에 복제본 키를 생성합니다. 그런 다음 리전 경계를 넘어 키 구성 요소를 안전하게 전송하고 AWS KMS 내에서 대상 리전의 새 KMS 키와 연결합니다. 그 결과 두 개의 관련 다중 리전 키(기본 키와 복제본 키)가 생성되며, 이 키를 서로 바꿔 사용할 수 있습니다..

AWS KMS 콘솔에서 또는 ReplicateKey API를 사용하여 다중 리전 복제본 키를 생성할 수 있습니다.

Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.

결과 다중 리전 복제본 키는 기본 키와 동일한 공유 속성을 가진 완전한 기능의 KMS 키입니다. 다른 모든 측면에서 자체 설명, 키 정책, 권한 부여, 별칭 및 태그가 있는 독립 KMS 키입니다. 다중 리전 키를 사용하거나 사용하지 않도록 설정해도 관련된 다중 리전 키에는 영향을 주지 않습니다. 기본 키와 복제 키를 암호화 작업에서 독립적으로 사용하거나 사용을 조정할 수 있습니다. 예를 들어 미국 동부(버지니아 북부) 리전의 기본 키를 사용하여 데이터를 암호화하고, 데이터를 유럽(아일랜드) 리전으로 이동하고, 복제 키를 사용하여 데이터를 해독할 수 있습니다.

관련 다중 리전 키는 동일한 키 ID를 갖습니다. 키 ARN(Amazon 리소스 이름)은 리전 필드에서만 다릅니다. 예를 들어 다중 리전 기본 키 및 복제본 키에는 다음 예제 키 ARN이 있을 수 있습니다. 키 ID(키 ARN의 마지막 요소)는 동일합니다. 두 키 모두 다중 리전 키의 구분적 키 ID를 가지며, mrk-로 시작합니다.

Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab

상호 운용성을 위해서는 동일한 키 ID가 필요합니다. 암호화할 때 AWS KMS는 KMS 키의 키 ID를 암호문에 바인딩하므로 암호문은 해당 KMS 키 또는 동일한 키 ID를 가진 KMS 키로만 해독할 수 있습니다. 또한 이 기능을 사용하면 관련 다중 리전 키를 쉽게 인식할 수 있으며 상호 교환 방식으로 쉽게 사용할 수 있습니다. 예를 들어 애플리케이션에서 이러한 키를 사용하는 경우 공유 키 ID로 관련 다중 리전 키를 참조할 수 있습니다. 그런 다음 필요한 경우 리전 또는 ARN을 지정하여 구분합니다.

데이터 요구 사항이 변경되면 기본 키를 미국 서부(오레곤) 및 아시아 태평양(시드니)과 같은 동일한 파티션의 다른 AWS 리전에 복제할 수 있습니다. 결과는 다음 다이어그램과 같이 동일한 키 구성 요소 및 키 ID를 가진 4개의 관련 다중 리전 키입니다. 키를 독립적으로 관리합니다. 독립적으로 또는 조정된 방식으로 사용할 수 있습니다. 예를 들어 아시아 태평양(시드니)의 복제본 키를 사용하여 데이터를 암호화하고, 데이터를 미국 서부(오레곤)로 이동한 다음, 미국 서부(오레곤)의 복제 키를 사용하여 암호를 해독할 수 있습니다.

다중 리전 키의 기본 키 및 복제본 키

다중 리전 키에 대한 기타 고려 사항은 다음과 같습니다.

공유 속성 동기화 — 다중 리전 키의 공유 속성이 변경되면, AWS KMS는 기본 키에서 모든 복제본 키로 변경 사항을 자동으로 동기화합니다. 공유 속성의 동기화를 요청하거나 강제할 수 없습니다. AWS KMS가 모든 변경 사항을 감지하고 동기화합니다. 그러나 CloudTrail 로그에서 SynchronizeMultiRegionKey 이벤트를 사용하여 동기화를 감사할 수 있습니다.

예를 들어 대칭 다중 리전 기본 키에서 자동 키 교체를 활성화하면 AWS KMS는 해당 설정을 모든 복제 키에 복사합니다. 키 구성 요소가 교체되면 모든 관련 다중 리전 키 간에 교체가 동기화되므로 동일한 현재 키 구성 요소를 가지며 모든 이전 버전의 키 구성 요소에 액세스할 수 있습니다. 새 복제 키를 만들면 관련된 모든 다중 리전 키와 동일한 현재 키 구성 요소를 가지며 이전 버전의 키 구성 요소에 액세스할 수 있습니다. 세부 정보는 Rotating multi-Region keys을 참조하세요.

기본 키 변경 — 모든 다중 리전 키 세트에는 정확히 하나의 기본 키가 있어야 합니다. 기본 키는 복제 할 수있는 유일한 키입니다. 또한 복제 키의 공유 속성의 소스이기도합니다. 하지만 기본 키를 복제본으로 변경하고 복제본 키 중 하나를 기본 키로 승격할 수 있습니다. 이를 수행하여 특정 리전에서 다중 리전 기본 키를 삭제하거나 프로젝트 관리자와 더 가까운 지역에서 기본 키를 찾을 수 있습니다. 자세한 내용은 다중 리전 키 세트에서 프라이머리 키 변경 섹션을 참조하세요.

다중 리전 키 삭제 — 모든 KMS 키와 마찬가지로 다중 리전 키의 삭제를 예약해야 AWS KMS가 해당 항목을 삭제합니다. 키가 삭제 대기 중인 동안에는 어떠한 암호화 작업에도 해당 키를 사용할 수 없습니다. 그러나 AWS KMS는 모든 복제 키가 삭제될 때까지 다중 리전 기본 키를 삭제하지 않습니다. 세부 정보는 Deleting multi-Region keys을 참조하세요.