회전 AWS KMS keys - AWS Key Management Service
KMS 키를 교체하는 이유는 무엇인가요?키 교체의 작동 방식

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

회전 AWS KMS keys

고객 관리형 키에 대한 새로운 암호화 자료를 만들려면 새 KMS 키를 만든 다음, 새 KMS 키를 사용하도록 애플리케이션 또는 별칭을 변경하면 됩니다. 또는 자동 키 교체를 활성화하거나 온디맨드 교체를 수행하여 기존 KMS 키와 연결된 키 구성 요소를 교체할 수 있습니다.

기본적으로 KMS 키에 대해 자동 키 교체를 활성화하면는 매년 KMS 키에 대한 새 암호화 구성 요소를 AWS KMS 생성합니다. 또한 사용자 지정을 지정rotation-period하여 키 구성 요소를 AWS KMS 교체하는 자동 키 교체를 활성화한 후 일수와 이후 각 자동 교체 사이의 일수를 정의할 수 있습니다. 키 구성 요소 교체를 즉시 시작해야 하는 경우 자동 키 교체 활성화 여부에 관계없이 온디맨드 교체를 수행할 수 있습니다. 온디맨드 교체는 기존 자동 교체 일정을 변경하지 않습니다.

AWS KMS 는 암호화 구성 요소의 모든 이전 버전을 영구적으로 저장하므로 해당 KMS 키로 암호화된 데이터를 해독할 수 있습니다.는 KMS 키를 삭제할 때까지 교체된 키 구성 요소를 삭제하지 AWS KMS 않습니다. Amazon CloudWatch AWS CloudTrail및 AWS Key Management Service 콘솔에서 KMS 키에 대한 키 구성 요소의 교체를 추적할 수 있습니다. GetKeyRotationStatus 작업을 사용하여 KMS 키에 대해 자동 교체가 활성화되어 있는지 확인하고 진행 중인 온디맨드 교체를 식별할 수도 있습니다. ListKeyRotations 작업을 사용하여 완료된 교체의 세부 정보를 볼 수 있습니다.

교체된 KMS 키를 사용하여 데이터를 암호화하면는 현재 키 구성 요소를 AWS KMS 사용합니다. 교체된 KMS 키를 사용하여 암호 텍스트를 해독하는 경우는 암호 텍스트를 암호화하는 데 사용된 키 구성 요소의 버전을 AWS KMS 사용합니다. 복호화 작업을 위해 특정 버전의 키 구성 요소를 선택할 수 없으며,는 AWS KMS 자동으로 올바른 버전을 선택합니다. 는 적절한 키 구성 요소를 사용하여 AWS KMS 투명하게 복호화하므로 코드 변경 AWS 서비스 없이 애플리케이션에서 교체된 KMS 키를 안전하게 사용할 수 있습니다.

그러나 자동 키 순환은 KMS 키가 보호하는 데이터에는 영향을 주지 않습니다. KMS 키에서 생성한 데이터 키를 교체하거나 KMS 키에서 보호하는 데이터를 다시 암호화하지 않으며, 손상된 데이터 키의 영향을 완화하지 않습니다.

AWS KMS 는가 AWS KMS 생성하는 키 구성 요소가 있는 대칭 암호화 KMS 키에 대해서만 자동 및 온디맨드 키 교체를 지원합니다. 자동 교체는 고객 관리형 KMS 키의 경우 선택 사항입니다. AWS KMS 는 항상 관리AWS 형 KMS 키의 키 구성 요소를 매년 교체합니다. AWS 에서 소유한 KMS 키의 교체는 키를 소유한 AWS 서비스에 의해 관리됩니다.

참고

의 교체 기간이 2022년 5월에 AWS 관리형 키 변경되었습니다. 세부 정보는 AWS 관리형 키을 참조하세요.

키를 교체하면 암호화 작업에 사용되는 암호화 비밀인 키 구성 요소만 변경됩니다. KMS 키는 키 구성 요소가 변경되는지 여부 또는 횟수에 관계없이 동일한 논리적 리소스입니다. 다음 이미지와 같이, KMS 키의 속성은 변경되지 않습니다.

Key rotation diagram showing key material change while Key ID remains constant.

새 KMS 키를 생성하여 원본 KMS 키 대신 사용하기로 결정할 수 있습니다. 이렇게 하면 기존 KMS 키에서 키 구성 요소를 교체하는 것과 동일한 효과가 있으므로, 이 방법은 일반적으로 키를 수동으로 교체하는 것으로 간주됩니다. 수동 교체는 비대칭 KMS 키, HMAC KMS 키, 사용자 지정 키 저장소의 KMS 키, 가져온 키 구성 요소가 있는 KMS 키 등 자동 키 교체에 적합하지 않은 KMS 키를 교체하려는 경우 좋은 선택입니다.

키 교체 및 요금

AWS KMS 는 KMS 키에 대해 유지되는 키 구성 요소의 첫 번째 및 두 번째 교체에 대해 월별 요금을 부과합니다. 이 가격 인상은 두 번째 교체 시 제한되며 후속 교체에는 요금이 청구되지 않습니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

참고

AWS Cost Explorer Service을 사용하여 키 스토리지 요금 내역을 확인할 수 있습니다. 예를 들어 사용 유형에 대한 $REGION-KMS-Keys를 지정하고 API 작업별로 데이터를 그룹화하여 현재 KMS 키와 교체된 KMS 키로 청구되는 키의 총 요금을 확인할 수 있도록 보기를 필터링할 수 있습니다.

이전 날짜에 대한 레거시 Unknown API 작업 인스턴스가 계속 표시될 수 있습니다.

키 교체 및 할당량

각 KMS 키는 키 리소스 할당량을 계산할 때 교체된 키 구성 요소 버전의 수에 관계없이 하나의 키로 계산됩니다.

키 구성 요소 및 교체에 대한 자세한 내용은 AWS Key Management Service 암호화 세부 정보를 참조하세요.

주제

KMS 키를 교체하는 이유는 무엇인가요?

암호화 모범 사례에서는가 AWS KMS 생성하는 데이터 키와 같이 데이터를 직접 암호화하는 키를 광범위하게 재사용하지 않는 것이 좋습니다. 256비트 데이터 키가 수백만 개의 메시지를 암호화하면 데이터가 소진되어 미묘한 패턴을 가진 사이퍼텍스트를 생성하기 시작할 수 있습니다. 영리한 액터는 이를 악용하여 키의 비트를 찾아낼 수 있습니다. 이러한 키 소진을 방지하려면 데이터 키를 한 번 또는 몇 번만 사용하는 것이 가장 좋습니다. 이렇게 하면 키 구성 요소가 효과적으로 교됩니다.

하지만 KMS 키는 키 암호화 키라고도 알려진 래핑 키로 가장 자주 사용됩니다. 래핑 키는 데이터를 암호화하는 대신 데이터를 암호화하는 데이터 키를 암호화합니다. 따라서 데이터 키보다 사용 빈도가 훨씬 적고 키가 고갈될 위험이 있을 정도로 재사용되는 경우가 거의 없습니다.

이렇게 소진 위험은 매우 낮지만 비즈니스 또는 계약 규칙이나 정부 규정으로 인해 KMS 키를 교체해야 할 수도 있습니다. KMS 키를 교체해야 할 때는 지원되는 경우 자동 키 교체를 사용하고, 자동 키 교체가 지원되지 않는 경우에는 수동 키 교체를 사용하는 것이 좋습니다.

주요 구성 요소 교체 기능을 시연하거나 자동화 스크립트를 검증하기 위해 온디맨드 교체를 수행하는 것이 좋습니다. 계획되지 않은 교체에는 온디맨드 교체를 사용하고 가능하면 사용자 지정 교체 기간과 함께 자동 키 교체를 사용하는 것이 좋습니다.

키 교체의 작동 방식

의 키 교체 AWS KMS 는 투명하고 사용하기 쉽게 설계되었습니다.는 고객 관리형 키에 대해서만 선택적 자동 및 온디맨드 키 교체를 AWS KMS 지원합니다.

자동 키 교체

AWS KMS 는 교체 기간에 정의된 다음 교체 날짜에 KMS 키를 자동으로 교체합니다. 업데이트를 기억하거나 예약할 필요가 없습니다.

온디맨드 교체

자동 키 교체 활성화 여부에 관계없이 KMS 키와 연결된 키 구성 요소의 교체를 즉시 시작합니다.

키 구성 요소 관리

AWS KMS 는 키 교체가 비활성화된 경우에도 KMS 키의 모든 키 구성 요소를 유지합니다.는 KMS 키를 AWS KMS 삭제할 때만 키 구성 요소를 삭제합니다.

키 구성 요소 사용

교체된 KMS 키를 사용하여 데이터를 암호화하면는 현재 키 구성 요소를 AWS KMS 사용합니다. 교체된 KMS 키를 사용하여 암호화 텍스트를 해독하면 AWS KMS 는 해당 데이터를 암호화하는 데 사용한 키 구성 요소와 같은 버전을 사용합니다. 복호화 작업을 위해 특정 버전의 키 구성 요소를 선택할 수 없으며,는 AWS KMS 자동으로 올바른 버전을 선택합니다.

교체 기간

교체 기간은 키 구성 요소를 AWS KMS 교체하는 자동 키 교체를 활성화한 후의 일수와 이후 각 자동 키 교체 사이의 일수를 정의합니다. 자동 키 교체를 활성화할 때 RotationPeriodInDays 값을 지정하지 않으면 기본값은 365일입니다.

kms:RotationPeriodInDays 조건 키를 사용하면 위탁자가 RotationPeriodInDays 파라미터에 지정할 수 있는 값을 더욱 제한할 수 있습니다.

교체 날짜

AWS KMS 는 교체 기간에 정의된 교체 날짜에 KMS 키를 자동으로 교체합니다. 기본 교체 기간은 365일입니다.

고객 관리형 키

고객 관리 키에서는 자동 키 교체가 선택 사항이며 언제든지 활성화 및 비활성화할 수 있으므로 교체 날짜는 가장 최근에 교체가 활성화된 날짜에 따라 달라집니다. 이전에 자동 키 교체를 활성화한 키의 교체 기간을 수정하면 날짜가 변경될 수 있습니다. 교체 날짜는 키의 수명 기간 동안 여러 번 변경할 수 있습니다.

예를 들어, 2022년 1월 1일에 고객 관리형 키를 생성하고 2022년 3월 15일에 기본 교체 기간을 365일로 자동 키 회전을 활성화하면 AWS KMS 는 2023년 3월 15일, 2024년 3월 15일, 그리고 그 이후로는 365일마다 키 구성 요소를 교체합니다.

다음 예제에서는 자동 키 교체가 기본 교체 기간인 365일로 활성화되었다고 가정합니다. 이러한 예제에서는 키의 교체 기간에 영향을 미칠 수 있는 특수 사례를 보여줍니다.

  • 키 교체 비활성화 - 언제든지 자동 키 교체를 비활성화하면 KMS 키는 교체가 비활성화되었을 때 사용하던 키 구성 요소 버전을 계속 사용합니다. 자동 키 교체를 다시 활성화하면는 새 AWS KMS 교체 활성화 날짜를 기준으로 키 구성 요소를 회전합니다.

  • 비활성화된 KMS 키 - KMS 키가 비활성화된 동안에는가 교체하지 AWS KMS 않습니다. 하지만 키 교체 상태는 변경되지 않으며 KMS 키가 비활성인 동안에는 해당 상태를 변경할 수 없습니다. KMS 키가 다시 활성화되면 키 구성 요소가 마지막으로 예약된 교체 날짜를 경과하면가 즉시 AWS KMS 키를 회전합니다. 키 구성 요소가 마지막으로 예약된 교체 날짜를 놓치지 않은 경우는 원래 키 교체 일정을 AWS KMS 재개합니다.

  • 삭제 보류 중인 KMS 키 - KMS 키가 삭제 보류 중인 동안는 이를 교체 AWS KMS 하지 않습니다. 키 교체 상태는 false로 설정되며 삭제가 보류 중인 동안에는 해당 상태를 변경할 수 없습니다. 삭제가 취소되면 이전의 키 교체 상태가 복원됩니다. 키 구성 요소가 마지막으로 예약된 교체 날짜를 초과한 경우는 즉시 키 구성 요소를 AWS KMS 교체합니다. 키 구성 요소가 마지막으로 예약된 교체 날짜를 놓치지 않은 경우는 원래 키 교체 일정을 AWS KMS 재개합니다.

AWS 관리형 키

AWS KMS 는 AWS 관리형 키 매년(약 365일) 자동으로 교체됩니다. AWS 관리형 키에 대한 키의 교체를 사용 또는 사용 중지할 수 없습니다.

의 키 구성 요소는 생성 날짜로부터 1년 후에 처음 교체되고, 그 이후에는 매년(마지막 교체 시점으로부터 약 365일) 교체 AWS 관리형 키 됩니다.

참고

2022년 5월에의 교체 일정을 3년마다(약 1,095일) AWS 관리형 키 에서 1년마다(약 365일)로 AWS KMS 변경했습니다.

새 AWS 관리형 키 는 생성 후 1년이 지나면 자동으로 교체되고 그 이후에는 대략 1년마다 교체됩니다.

기존 AWS 관리형 키 는 가장 최근 교체 후 1년이 지나면 자동으로 교체되고 그 이후에는 매년 교체됩니다.

AWS 소유 키

AWS 소유 키에 대한 키의 교체를 사용 또는 사용 중지할 수 없습니다. 의 키 교체 전략은 키를 생성하고 관리하는 AWS 서비스에 의해 AWS 소유 키 결정됩니다. 자세한 내용은 서비스에 대한 사용 설명서 또는 개발자 안내서의 저장 시 암호화 주제를 참조하세요.

지원되는 KMS 키 유형

자동 키 교체는 AWS KMS 에서 생성된(오리진 = AWS_KMS) 키 구성 요소가 있는 대칭 암호화 KMS 키에 대해서만 지원됩니다.

다음 유형의 KMS 키에서는 자동 키 교체가 지원되지 않지만 이러한 KMS 키를 수동으로 교체할 수 있습니다.

다중 리전 키 교체

대칭 암호화 다중 리전 키에서 키 구성 요소 자동 교체를 활성화 및 비활성화하고 온디맨드 교체를 수행할 수 있습니다. 키 교체는 다중 리전 키의 공유 속성입니다.

기본 키에서만 자동 키 교체를 활성화 및 비활성화합니다. 프라이머리 키에서만 온디맨드 교체를 시작합니다.

  • 가 다중 리전 키를 AWS KMS 동기화하면 기본 키에서 모든 관련 복제본 키로 키 교체 속성 설정을 복사합니다.

  • 가 키 구성 요소를 AWS KMS 교체하면 기본 키에 대한 새 키 구성 요소를 생성한 다음 리전 경계를 넘어 모든 관련 복제본 키에 새 키 구성 요소를 복사합니다. 키 구성 요소는 암호화 AWS KMS 되지 않은 상태로 두지 않습니다. 이 단계는 암호화 작업에 키가 사용되기 전에 키 구성 요소가 완전히 동기화되도록 신중하게 제어됩니다.

  • AWS KMS 는 기본 키와 모든 복제본 키에서 해당 키 구성 요소를 사용할 수 있을 때까지 새 키 구성 요소로 데이터를 암호화하지 않습니다.

  • 교체된 기본 키를 복제하면 새 복제 키에는 현재 키 구성 요소와 관련된 다중 리전 키에 대한 모든 이전 버전의 키 구성 요소가 포함됩니다.

이 패턴은 관련된 다중 리전 키가 완벽하게 상호 운용되도록 보장합니다. 다중 리전 키는 키가 생성되기 전에 암호문을 암호화한 경우에도 관련 다중 리전 키로 암호화된 모든 암호문을 해독할 수 있습니다.

AWS 서비스

AWS 서비스에서 서버 측 암호화에 사용하는 고객 관리형 키에서 자동 키 교체를 활성화할 수 있습니다. 연간 교체는 투명하며 AWS 서비스와 호환됩니다.

키 교체 모니터링

AWS 관리형 키 또는 고객 관리형 키의 키 구성 요소를 AWS KMS 교체하면 Amazon EventBridge에 KMS CMK Rotation 이벤트를 쓰고 로그에 RotateKey 이벤트를 씁니다 AWS CloudTrail . 이러한 레코드를 사용하여 KMS 키가 교체되었는지 확인할 수 있습니다.

AWS Key Management Service 콘솔을 사용하여 남은 온디맨드 교체 횟수와 KMS 키에 대해 완료된 모든 키 구성 요소 교체 목록을 볼 수 있습니다.

ListKeyRotations 작업을 사용하여 완료된 교체의 세부 정보를 볼 수 있습니다.

최종 일관성

키 교체에는 다른 AWS KMS 관리 작업과 동일한 최종 일관성 효과가 적용됩니다. AWS KMS전체에서 새 키 자료를 사용할 수 있게 되기까지 약간의 지연이 있을 수 있습니다. 그러나 키 구성 요소를 교체해도 암호화 작업이 중단되거나 지연되지는 않습니다. 현재 키 구성 요소는 AWS KMS전체에서 새 키 구성 요소를 사용할 수 있을 때까지 암호화 작업에 사용됩니다. 다중 리전 키의 키 구성 요소가 자동으로 교체되면는 관련 다중 리전 키가 있는 모든 리전에서 새 키 구성 요소를 사용할 수 있을 때까지 현재 키 구성 요소를 AWS KMS 사용합니다.