온디맨드 키 교체 수행 - AWS Key Management Service
온디맨드 키 교체 시작(콘솔)온디맨드 키 교체 시작(AWS KMS API)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

온디맨드 키 교체 수행

자동 키 교체 활성화 여부에 관계없이 고객 관리형 KMS 키에서 키 구성 요소의 온디맨드 교체를 수행할 수 있습니다. 자동 교체(DisableKeyRotation)를 비활성화해도 온디맨드 교체를 수행하는 기능에 영향을 주지 않으며 진행 중인 온디맨드 교체도 취소되지 않습니다. 온디맨드 교체는 기존 자동 교체 일정을 변경하지 않습니다. 예를 들어 자동 키 교체가 활성화되고 교체 기간이 730일인 KMS 키를 가정해 보겠습니다. 키가 2024년 4월 14일에 자동으로 교체되도록 예정되어 있고 2024년 4월 10일에 온디맨드 교체를 수행하는 경우, 키는 2024년 4월 14일 및 그 이후 730일마다 예정대로 자동으로 교체됩니다.

온디맨드 키 교체는 KMS 키당 최대 10회 수행할 수 있습니다. AWS KMS 콘솔을 사용하여 KMS 키에 사용할 수 있는 나머지 온디맨드 교체 횟수를 볼 수 있습니다.

온디맨드 키 교체는 대칭 암호화 KMS 키에서만 지원됩니다. 비대칭 KMS, HMAC KMS 키 가져온 키 구성 요소가 있는 KMS 키 또는 사용자 지정 키 저장소의 KMS 키는 온디맨드로 교체할 수 없습니다. 관련 다중 리전 키 세트의 온디맨드 교체를 수행하려면 프라이머리 키에서 온디맨드 교체를 간접적으로 호출합니다.

권한이 있는 사용자는 AWS KMS 콘솔 및 AWS KMS API를 사용하여 온디맨드 키 교체를 시작하고 키 교체 상태를 볼 수 있습니다.

온디맨드 키 교체 시작(콘솔)

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다. (AWS 관리형 키의 교체를 온디맨드로 수행할 수 없습니다. 키는 매년 자동으로 교체됩니다.)

  4. KMS 키의 별칭 또는 키 ID를 선택합니다.

  5. 키 교체(Key rotation) 탭을 선택합니다.

    키 교체(Key rotation) 탭은 다중 리전 대칭 암호화 KMS 키를 포함하여 AWS KMS가 생성한 키 구성 요소가 있는 대칭 암호화 KMS 키의 세부 정보 페이지에만 나타납니다(오리진(Origin)AWS_KMS).

    비대칭 KMS, HMAC KMS 키, 가져온 키 구성 요소가 있는 KMS 키 또는 사용자 지정 키 저장소의 KMS 키는 온디맨드로 교체할 수 없습니다. 그러나 이들을 수동으로 교체할 수 있습니다.

  6. 온디맨드 키 교체 섹션에서 키 교체를 선택합니다.

  7. 경고와 키의 나머지 온디맨드 교체 횟수에 대한 정보를 읽고 고려합니다. 온디맨드 교체를 진행하지 않기로 결정한 경우 취소를 선택합니다.

  8. 키 교체를 선택하여 온디맨드 교체를 확인합니다.

    참고

    온디맨드 키 교체에는 다른 AWS KMS 관리 작업과 동일한 최종 일관성 효과가 적용됩니다. AWS KMS 전체에서 새 키 자료를 사용할 수 있게 되기까지 약간의 지연이 있을 수 있습니다. 콘솔 상단의 배너에서 온디맨드 교체가 완료되는 시기를 알려줍니다.

온디맨드 키 교체 시작(AWS KMS API)

AWS Key Management Service(AWS KMS) API를 사용하여 온디맨드 키 교체를 시작하고 고객 관리형 키의 현재 교체 상태를 볼 수 있습니다. 이 예제는 AWS Command Line Interface(AWS CLI)를 사용하지만, 사용자는 지원되는 어떤 프로그래밍 언어라도 사용할 수 있습니다.

RotateKeyOnDemand 작업은 지정된 KMS 키에 대한 온디맨드 키 교체를 즉시 시작합니다. 이러한 작업에서 KMS 키를 식별하려면 해당 키 ID 또는 키 ARN을 사용합니다.

다음 예제에서는 지정된 대칭 암호화 KMS 키에서 온디맨드 키 교체를 시작하고 GetKeyRotationStatus 작업을 사용하여 온디맨드 교체가 진행 중인지 확인합니다. kms:GetKeyRotationStatus 응답의 OnDemandRotationStartDate는 진행 중인 온디맨드 교체가 시작된 날짜와 시간을 식별합니다.

$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"    
}

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
    "OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
    "RotationPeriodInDays": 365    
}