[AWS] AWS KMS, CMK, 암호화별 키 교체 절차, 한 번에 정리하자

AWS KMS 개념

AWS Key Management Service (KMS)는 AWS에서 제공하는 완전관리형 암호화 키 관리 서비스이다.

• 암호화 키 생성 및 관리: 대칭 및 비대칭 키를 생성하고 관리
• 데이터 암호화 및 복호화: AWS 서비스 또는 애플리케이션에서 데이터를 암호화하고 복호화
• 자동 키 순환: 일정 주기로 키를 자동으로 교체하여 보안 강화
• 감사 및 로깅: AWS CloudTrail과 통합되어 키 사용 내역을 추적

 

AWS KMS와 CMK의 이해 관계

CMK(Customer Master Key)는 AWS KMS에서 사용하는 고객 마스터 키로, 암호화 및 복호화 작업의 핵심 역할을 수행한다.

CMK와 KMS Key는 동일한 의미라고 봐도 무방하다.

• 고객 관리형 키 (Customer Managed CMK): 사용자가 직접 생성하고 관리하는 키로, 키 정책, 별칭, 자동 순환 설정 등을 제어
• AWS 관리형 키 (AWS Managed CMK): AWS 서비스가 자동으로 생성하고 관리하는 키로, 사용자는 제한된 제어만 가능
• 가져온 키 자료 기반 CMK (Imported Key Material CMK): 외부에서 생성한 키 자료를 AWS KMS에 가져와 사용하는 키로, 자동 키 순환이 지원되지 않으며, 수동으로 키 교체

 

AWS KMS 암호화 방식별 키 교체 절차

• 고객 관리형 키 (Customer Managed CMK): AWS가 자동으로 1년 주기로 키를 순환 (순환 주기 변경 불가, 비활성화 가능)
• AWS 관리형 키 (AWS Managed CMK): AWS가 자동으로 1년 주기로 키를 순환 (순환 주기 변경 불가, 비활성화 불가)
• 가져온 키 자료 기반 CMK (Imported Key Material CMK): 수동 키 순환
  
  1. 새로운 키 자료 생성: 외부에서 새로운 키 자료를 생성합니다.
  2. 새로운 CMK 생성: AWS KMS에서 새로운 CMK를 생성합니다.
  3. 키 자료 가져오기: 생성한 키 자료를 새로운 CMK에 가져옵니다.
  4. 별칭 업데이트: 기존 키의 별칭을 새로운 CMK로 업데이트합니다.

https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/rotate-keys.html

---

 

예제 문제

한 회사에서 가져온 키 자료를 사용하여 AWS KMS 고객 마스터 키(CMK)를 사용하고 있습니다. 이 회사는 Java 애플리케이션에서 별칭으로 CMK를 참조하여 데이터를 암호화합니다. CMK는 6개월마다 교체해야 합니다.
키를 교체하는 절차는 무엇입니까?

• A. CMK에 대해 자동 키 순환을 활성화하고 기간을 6개월로 지정합니다.
• B. 새로 가져온 자료로 새 CMK를 만들고, 키 별칭을 업데이트하여 새 CMK를 가리키도록 합니다.
• C. 현재 키 자료를 삭제하고 새 자료를 기존 CMK로 가져옵니다.
• D. 기존 키 자료의 사본을 백업용으로 새 CMK로 가져오고, 순환 일정을 6개월로 설정합니다.

답 : B

이유 : 가져온 키를 KMS Key로 사용하고 있으므로 수동 키 순환 작업을 진행해 주어야 한다.