외부 키 저장소 연결 및 연결 해제 - AWS Key Management Service
연결 상태

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

외부 키 저장소 연결 및 연결 해제

새로운 외부 키 스토어는 연결되지 않습니다. 외부 키 스토어에서 AWS KMS keys를 생성하고 사용하려면 외부 키 스토어를 외부 키 스토어 프록시에 연결해야 합니다. 외부 키 스토어를 언제든 연결 및 연결 해제하고 연결 상태를 확인할 수 있습니다.

외부 키 스토어가 연결 해제되어 있는 동안에는 AWS KMS가 외부 키 스토어 프록시와 통신할 수 없습니다. 따라서 외부 키 스토어와 기존 KMS 키를 보고 관리할 수 있습니다. 그러나 외부 키 스토어에서 KMS 키를 생성하거나 암호화 작업에 KMS 키를 사용할 수는 없습니다. 속성을 편집할 때와 같이 특정 시점에 외부 키 스토어를 연결 해제해야 할 수 있지만 그에 따라 계획해야 합니다. 키 스토어를 연결 해제하면 KMS 키를 사용하는 AWS 서비스의 작업이 중단될 수 있습니다.

외부 키 스토어를 연결할 필요는 없습니다. 외부 키 스토어를 연결 해제 상태로 무기한 남겨두고 사용 시에만 이를 연결할 수 있습니다. 하지만 설정이 올바른지, 연결이 가능한지 확인하기 위해 정기적으로 연결을 테스트하고 싶을 수 있습니다.

사용자 지정 키 스토어를 연결 해제하면 키 스토어의 KMS 키를 즉시 사용할 수 없게 됩니다(최종 일관성에 따라 다름). 그러나 KMS 키로 보호되는 데이터 키로 암호화된 리소스는 데이터 키를 복호화하는 등 KMS 키를 다시 사용할 때까지 영향을 받지 않습니다. 이 문제는 리소스를 보호하기 위해 데이터 키를 사용하는 AWS 서비스에 영향을 미칩니다. 세부 정보는 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향을 참조하세요.

참고

외부 키 스토어는 키 스토어가 연결되지 않았거나 연결을 직접 해제한 경우에만 DISCONNECTED 상태가 됩니다. CONNECTED 상태는 외부 키 스토어 또는 해당 지원 구성 요소가 효율적으로 작동하고 있음을 나타내지 않습니다. 외부 키 스토어 구성 요소의 성능에 대한 자세한 내용은 각 외부 키 스토어에 대한 세부 정보 페이지의 Monitoring(모니터링) 섹션에 있는 그래프를 참조하세요. 세부 정보는 외부 키 저장소 모니터링을 참조하세요.

외부 키 관리자는 AWS KMS 외부 키 스토어와 외부 키 스토어 프록시 간 또는 외부 키 스토어 프록시와 외부 키 관리자 간의 통신을 중지하고 다시 시작하는 추가 방법을 제공할 수 있습니다. 자세한 내용은 외부 키 관리자 설명서를 참조하세요.

주제

연결 상태

연결 및 연결 해제는 사용자 지정 키 스토어의 연결 상태를 변경합니다. 연결 상태 값은 AWS CloudHSM 키 스토어와 외부 키 스토어에서 동일합니다.

사용 지정 키 스토어의 연결 상태를 보려면 DescribeCustomKeyStores 작업이나 AWS KMS 콘솔을 사용합니다. Connection state(연결 상태)는 각 사용자 지정 키 스토어 테이블, 각 사용자 지정 키 스토어에 대한 세부 정보 페이지의 General configuration(일반 구성) 섹션 및 사용자 지정 키 스토어에 있는 KMS 키의 Cryptographic configuration(암호화 구성) 탭에 표시됩니다. 자세한 내용은 AWS CloudHSM 키 저장소 보기외부 키 저장소 보기 섹션을 참조하세요.

사용자 지정 키 스토어는 다음 연결 상태 중 하나를 가질 수 있습니다.

  • CONNECTED: 사용자 지정 키 스토어가 백업 키 스토어에 연결되어 있습니다. 사용자 지정 키 스토어에서 KMS 키를 생성하거나 사용할 수 있습니다.

    AWS CloudHSM 키 스토어의 백업 키 스토어는 연결된 AWS CloudHSM 클러스터입니다. 외부 키 스토어의 백업 키 스토어는 외부 키 스토어 프록시와 이 프록시가 지원하는 외부 키 관리자입니다.

    CONNECTED 상태는 연결에 성공했으며 사용자 지정 키 스토어의 연결이 의도적으로 해제되지 않았음을 의미합니다. 그러나 연결이 제대로 작동하고 있음을 나타내지는 않습니다. AWS CloudHSM 키 스토어와 연결된 AWS CloudHSM 클러스터의 상태에 대한 자세한 내용은 AWS CloudHSM 사용 설명서의 AWS CloudHSM에 대한 CloudWatch 지표 가져오기를 참조하세요. 외부 키 스토어의 상태 및 운영에 대한 자세한 내용은 각 외부 키 스토어에 대한 세부 정보 페이지의 Monitoring(모니터링) 섹션에 있는 그래프를 참조하세요. 세부 정보는 외부 키 저장소 모니터링을 참조하세요.

  • CONNECTING: 사용자 지정 키 스토어 연결 작업이 진행 중입니다. 이것은 일시적인 상태입니다.

  • DISCONNECTED: 사용자 지정 키 스토어가 백업에 연결되지 않았거나 AWS KMS 콘솔 또는 DisconnectCustomKeyStore 작업을 사용하여 의도적으로 연결 해제되었습니다.

  • DISCONNECTING: 사용자 지정 키 스토어 연결 해제 작업이 진행 중입니다. 이것은 일시적인 상태입니다.

  • FAILED: 사용자 지정 키 스토어를 연결하려는 시도가 실패했습니다. DescribeCustomKeyStores 응답의 ConnectionErrorCode는 문제를 나타냅니다.

사용자 지정 키 스토어를 연결하려면 연결 상태가 DISCONNECTED여야 합니다. 연결 상태가 FAILED인 경우 ConnectionErrorCode를 사용하여 문제를 식별하고 해결합니다. 사용자 지정 키 스토어를 연결 해제한 후 다시 연결을 시도하세요. 연결 실패에 대한 도움말은 외부 키 스토어 연결 오류 단원을 참조하십시오. 연결 오류 코드에 대응하는 방법에 대한 도움말은 외부 키 스토어의 연결 오류 코드 섹션을 참조하세요.

연결 오류 코드를 보려면 다음을 수행하세요.

  • DescribeCustomKeyStores 응답에서 ConnectionErrorCode 요소의 값을 확인합니다. 이 요소는 ConnectionStateFAILED인 경우에만 DescribeCustomKeyStores 응답에 나타납니다.

  • AWS KMS 콘솔에서 연결 오류 코드를 보려면 외부 키 스토어의 세부 정보 페이지에서 Failed(실패) 값 위로 마우스를 가져갑니다.

    사용자 지정 키 스토어 세부 정보 페이지의 연결 오류 코드