외부 키 저장소 속성 편집 - AWS Key Management Service
외부 키 저장소의 속성 편집

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

외부 키 저장소 속성 편집

기존 외부 키 스토어의 선택된 속성을 편집할 수 있습니다.

외부 키 스토어가 연결되거나 연결 해제된 상태에서 일부 속성을 편집할 수 있습니다. 다른 속성의 경우 먼저 외부 키 스토어 프록시에서 외부 키 스토어를 연결 해제해야 합니다. 외부 키 스토어의 연결 상태DISCONNECTED여야 합니다. 외부 키 스토어가 연결 해제된 동안 사용자가 키 스토어와 해당 KMS 키를 관리할 수 있지만, 외부 키 스토어에서 KMS 키를 생성 또는 사용할 수 없습니다. 외부 키 스토어의 연결 상태를 찾으려면 DescribeCustomKeystore 작업을 사용하거나 외부 키 스토어의 세부 정보 페이지에서 General configuration(일반 구성) 섹션을 봅니다.

외부 키 스토어의 속성을 업데이트하기 전에 AWS KMS는 새 값을 사용하여 외부 키 스토어 프록시에 GetHealthStatus 요청을 전송합니다. 요청이 성공하면 업데이트된 속성 값을 사용하여 외부 키 스토어 프록시에 연결하고 인증할 수 있는 것입니다. 요청이 실패하면 오류를 식별하는 예외와 함께 편집 작업이 실패합니다.

편집 작업이 완료되면 외부 키 스토어의 업데이트된 속성 값이 AWS KMS 콘솔과 DescribeCustomKeyStores 응답에 표시됩니다. 그러나 변경 내용이 완전히 적용되는 데 최대 5분이 걸릴 수 있습니다.

AWS KMS 콘솔에서 외부 키 스토어를 편집하는 경우 프록시 URI 경로프록시 인증 자격 증명을 지정하는 JSON 기반 프록시 구성 파일을 업로드할 수 있습니다. 일부 외부 키 스토어 프록시는 이 파일을 자동으로 생성합니다. 자세한 내용은 외부 키 스토어 프록시 또는 외부 키 관리자의 설명서를 참조하세요.

주의

업데이트된 속성 값은 이전 값과 동일한 외부 키 관리자 또는 동일한 암호화 키를 사용하는 외부 키 관리자의 백업 또는 스냅샷에 대한 프록시에 외부 키 스토어를 연결해야 합니다. 외부 키 스토어가 KMS 키와 연결된 외부 키에 대한 액세스 권한을 영구적으로 상실하는 경우 해당 외부 키로 암호화된 사이퍼텍스트를 복구할 수 없습니다. 특히 외부 키 스토어의 프록시 연결을 변경하면 AWS KMS가 외부 키에 액세스하지 못할 수 있습니다.

작은 정보

일부 외부 키 관리자는 외부 키 스토어 속성을 편집하는 더 간단한 방법을 제공합니다. 자세한 내용은 외부 키 관리자 설명서를 참조하세요.

외부 키 스토리의 다음 속성을 변경할 수 있습니다.

편집 가능한 외부 키 스토어 속성 연결 상태 연결 해제됨 상태 필요
사용자 지정 키 스토어 이름

사용자 지정 키 스토어에 필요한 이름입니다.

중요

이 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.

 Green checkmark icon indicating success or completion.
프록시 인증 자격 증명(XksProxyAuthenticationCredential)

(액세스 키 ID와 비밀 액세스 키 모두 지정해야 합니다. 하나의 요소만 변경하는 경우에도 마찬가지입니다.)

 Green checkmark icon indicating success or completion.
프록시 URI 경로(XksProxyUriPath) Green checkmark icon indicating success or completion.
프록시 연결(XksProxyConnectivity)

(프록시 URI 엔드포인트도 업데이트해야 합니다. VPC 엔드포인트 서비스 연결로 변경하는 경우 프록시 VPC 엔드포인트 서비스 이름을 지정해야 합니다.)

 Green checkmark icon indicating success or completion.
프록시 URI 엔드포인트(XksProxyUriEndpoint)

프록시 엔드포인트 URI를 변경하는 경우 연결된 TLS 인증서도 변경해야 할 수 있습니다.

 Green checkmark icon indicating success or completion.
프록시 VPC 엔드포인트 서비스 이름(XksProxyVpcEndpointServiceName)

(이 필드는 VPC 엔드포인트 서비스 연결에 필요합니다.)

 Green checkmark icon indicating success or completion.

외부 키 저장소의 속성 편집

AWS KMS 콘솔에서 또는 UpdateCustomKeyStore 작업을 사용하여 외부 키 저장소의 속성을 편집할 수 있습니다.

키 스토어를 편집할 때 편집 가능한 값 중 일부 또는 일부를 변경할 수 있습니다. 일부 변경을 위해서는 외부 키 스토어와 외부 키 스토어 프록시를 연결 해제해야 합니다.

프록시 URI 경로 또는 프록시 인증 자격 증명을 편집하는 경우 새 값을 입력하거나 새 값이 포함된 외부 키 스토어 프록시 구성 파일을 업로드할 수 있습니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 Custom key stores(사용자 지정 키 스토어), External key stores(외부 키 스토어)를 선택합니다.

  4. 편집하려는 외부 키 스토어의 행을 선택합니다.

  5. 필요한 경우 외부 키 스토어 프록시에서 외부 키 스토어를 연결 해제합니다. Key store actions(키 스토어 작업) 메뉴에서 Disconnect(연결 해제)를 선택합니다.

  6. Key store actions(키 스토어 작업) 메뉴에서 Edit(편집)를 선택합니다.

  7. 편집 가능한 외부 키 스토어 속성을 하나 이상 변경합니다. 프록시 URI 경로 및 프록시 인증 자격 증명에 대한 값이 있는 외부 키 스토어 프록시 구성 파일을 업로드할 수도 있습니다. 파일에 지정된 일부 값이 변경되지 않은 경우에도 프록시 구성 파일을 사용할 수 있습니다.

  8. Update external key store(외부 키 스토어 업데이트)를 선택합니다.

  9. 경고를 검토하고 계속하기로 결정한 경우 경고를 확인한 다음 Update external key store(외부 키 스토어 업데이트)를 선택합니다.

    절차가 성공하면 편집한 속성을 설명하는 메시지가 표시됩니다. 절차가 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다.

  10. 필요한 경우 외부 키 스토어를 다시 연결합니다. Key store actions(키 스토어 작업) 메뉴에서 Connect(연결)를 선택합니다.

    외부 키 스토어를 연결 해제된 상태로 남겨둘 수 있습니다. 하지만 연결 해제되어 있는 동안에는 외부 키 스토어에서 KMS 키를 생성하거나, 암호화 작업에서 외부 키 스토어의 KMS 키를 사용할 수 없습니다.

외부 키 스토어의 속성을 변경하려면 UpdateCustomKeyStore 작업을 사용합니다. 동일한 작업으로 외부 키 스토어에서 여러 개의 속성을 변경할 수 있습니다. 작업이 성공하지 않으면 AWS KMS가 HTTP 200 응답 및 속성을 포함하지 않는 JSON 객체를 반환합니다.

CustomKeyStoreId 파라미터를 사용하여 외부 키 스토어를 식별합니다. 다른 파라미터를 사용하여 속성을 변경합니다. UpdateCustomKeyStore 작업과 함께 프록시 구성 파일을 사용할 수 없습니다. 프록시 구성 파일은 AWS KMS 콘솔에서만 지원됩니다. 그러나 프록시 구성 파일을 사용하여 외부 키 스토어 프록시에 대한 올바른 파라미터 값을 결정할 수 있습니다.

이 섹션의 예제는 AWS Command Line Interface(AWS CLI)를 사용하지만, 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

시작하기 전에 필요한 경우 외부 키 스토어 프록시에서 외부 키 스토어를 연결 해제합니다. 업데이트 후 필요한 경우 외부 키 스토어 프록시에 외부 키 스토어를 다시 연결할 수 있습니다. 외부 키 스토어를 연결 해제 상태로 남겨둘 수 있지만, 키 스토어에서 새 KMS 키를 생성하거나 키 스토어에서 기존 KMS 키를 암호화 작업에 사용할 수 있으려면 먼저 이를 다시 연결해야 합니다.

참고

AWS CLI 버전 1.0을 사용하는 경우 HTTP 또는 HTTPS 값을 포함하는 파라미터(예: XksProxyUriEndpoint 파라미터)를 지정하기 전에 다음 명령을 실행합니다.

aws configure set cli_follow_urlparam false

그렇지 않으면 AWS CLI 버전 1.0이 파라미터 값을 해당 URI 주소에 있는 콘텐츠로 바꿔 다음 오류가 발생합니다.

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

외부 키 스토어의 이름 변경

첫 번째 예제에서 UpdateCustomKeyStore 작업을 사용하여 기억하기 쉬운 외부 키 스토어의 이름을 XksKeyStore로 변경합니다. 이 명령은 CustomKeyStoreId 파라미터를 사용해 사용자 지정 키 스토어를 식별하고, CustomKeyStoreName 파라미터를 사용해 사용자 지정 키 스토어에서 새 이름을 지정합니다. 모든 예제 값을 외부 키 스토어의 실제 값으로 바꿉니다.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore

프록시 인증 자격 증명 변경

다음 예제에서는 AWS KMS가 외부 키 스토어 프록시에 인증하는 데 사용하는 프록시 인증 자격 증명을 업데이트합니다. 이와 같은 명령을 사용하여 프록시에서 교체되는 경우 자격 증명을 업데이트할 수 있습니다.

먼저 외부 키 스토어 프록시에서 자격 증명을 업데이트합니다. 그런 다음 이 기능을 사용하여 AWS KMS에 변경 사항을 보고합니다. (프록시는 이전 자격 증명과 새 자격 증명을 모두 간략하게 지원하므로 AWS KMS에서 자격 증명을 업데이트할 시간을 가질 수 있습니다.)

자격 증명에 액세스 키 ID와 보안 액세스 키를 모두 지정해야 합니다. 하나의 값만 변경된 경우에도 마찬가지입니다.

처음 두 명령은 자격 증명 값을 보유하도록 변수를 설정합니다. UpdateCustomKeyStore 작업은 CustomKeyStoreId 파라미터를 사용하여 외부 키 스토어를 식별합니다. XksProxyAuthenticationCredential 파라미터를 AccessKeyIdRawSecretAccessKey 필드와 함께 사용하여 새 자격 증명을 지정합니다. 모든 예제 값을 외부 키 스토어의 실제 값으로 바꿉니다.

$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey

프록시 URI 경로 변경

다음 예제에서는 프록시 URI 경로(XksProxyUriPath)를 업데이트합니다. 결합된 프록시 URI 엔드포인트와 프록시 URI 경로는 AWS 계정과 리전에서 고유해야 합니다. 모든 예제 값을 외부 키 스토어의 실제 값으로 바꿉니다.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1

VPC 엔드포인트 서비스 연결로 변경

다음 예제에서는 UpdateCustomKeyStore 작업을 사용하여 외부 키 스토어 프록시 연결 유형을 VPC_ENDPOINT_SERVICE로 변경합니다. 이렇게 변경하려면 VPC 엔드포인트 서비스 이름(XksProxyVpcEndpointServiceName)과 VPC 엔드포인트 서비스의 프라이빗 DNS 이름을 포함하는 프록시 URI 엔드포인트(XksProxyUriEndpoint) 값을 포함하여 VPC 엔드포인트 서비스 연결에 필요한 값을 지정해야 합니다. 모든 예제 값을 외부 키 스토어의 실제 값으로 바꿉니다.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example

퍼블릭 엔드포인트 연결로 변경

다음 예제에서는 외부 키 스토어 프록시 연결 유형을 PUBLIC_ENDPOINT로 변경합니다. 이렇게 변경할 때는 프록시 URI 엔드포인트(XksProxyUriEndpoint) 값을 업데이트해야 합니다. 모든 예제 값을 외부 키 스토어의 실제 값으로 바꿉니다.

참고

VPC 엔드포인트 연결은 퍼블릭 엔드포인트 연결보다 더 강력한 보안을 제공합니다. 퍼블릭 엔드포인트 연결로 변경하기 전에 온프레미스에서 외부 키 스토어 프록시를 찾고 통신에만 VPC를 사용하는 등 다른 옵션을 고려해 보세요.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com