기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사용할 수 없는 KMS 키가 데이터 키에 미치는 영향
KMS 키를 사용할 수 없게 되면 효과는 거의 즉각적으로 나타납니다(최종 일관성에 따라 다름). KMS 키의 키 상태는 새로운 조건을 반영하도록 변경되며 암호화 작업에서 KMS 키를 사용하려는 모든 요청은 실패합니다.
그러나 KMS 키로 암호화된 데이터 키와 데이터 키로 암호화된 데이터에 미치는 영향은 데이터 키 복호화 등을 위해 KMS 키를 다시 사용할 때까지 지연됩니다.
수행할 수 있는 다음 작업을 포함하여 다양한 이유로 KMS 키를 사용할 수 없게 될 수 있습니다.
-
가져온 키 구성 요소가 있는 KMS 키에서 키 구성 요소 삭제 또는 가져온 키 구성 요소가 만료되도록 허용
-
KMS 키를 호스팅하는 AWS CloudHSM 키 스토어 연결 해제 또는 KMS 키의 키 구성 요소 역할을 하는 AWS CloudHSM 클러스터에서 키 삭제
-
KMS 키를 호스팅하는 외부 키 스토어 연결 해제 또는 외부 키 관리자에서 외부 키 삭제를 포함하여 외부 키 스토어 프록시에 대한 암호화 및 복호화 요청을 방해하는 기타 작업
이 효과는 서비스가 관리하는 리소스를 보호하기 위해 데이터 키를 사용하는 많은 AWS 서비스에 특히 중요합니다. 다음 예제에서는 Amazon Elastic Block Store(Amazon EBS)와 Amazon Elastic Compute Cloud(Amazon EC2)를 사용합니다. 다양한 AWS 서비스는 다양한 방식으로 데이터 키를 사용합니다. 자세한 내용은 AWS 서비스에 대한 보안 장의 데이터 보호 섹션을 참조하세요.
예를 들어 다음 시나리오를 고려해 보십시오.
-
암호화된 EBS 볼륨을 생성하고 KMS 키를 지정하여 보호합니다. Amazon EBS가 AWS KMS에 KMS 키를 사용하여 볼륨에 대한 암호화된 데이터 키를 생성하도록 요청합니다. Amazon EBS는 볼륨의 메타데이터와 함께 암호화된 데이터 키를 저장합니다.
-
EC2 인스턴스에 EBS 볼륨을 연결하면 Amazon EC2는 KMS 키를 사용하여 EBS 볼륨의 암호화된 데이터 키를 복호화합니다. Amazon EC2는 Nitro 하드웨어의 데이터 키를 사용하며, 이 키는 EBS 볼륨에 모든 디스크 I/O를 암호화하는 작업을 담당합니다. EBS 볼륨이 EC2 인스턴스에 연결되어 있는 동안 데이터 키는 Nitro 하드웨어에 유지됩니다.
-
KMS 키를 사용할 수 없게 하는 작업을 수행합니다. 이로 인해 EC2 인스턴스나 EBS 볼륨에 즉시 영향이 미치지 않습니다. Amazon EC2는 KMS 키가 아닌 데이터 키를 사용하여 볼륨이 인스턴스에 연결되어 있는 동안 모든 디스크 I/O를 암호화합니다.
-
단, 암호화된 EBS 볼륨이 EC2 인스턴스에서 삭제되면 Amazon EBS는 데이터 키를 Nitro 하드웨어에서 제거합니다. 다음에 암호화된 EBS 볼륨을 EC2 인스턴스에 연결할 때 Amazon EBS가 KMS 키를 사용하여 볼륨의 암호화된 데이터 키를 해독하지 못하므로 연결에 실패합니다. EBS 볼륨을 다시 사용하려면 KMS 키를 다시 사용할 수 있게 만들어야 합니다.
