KMS Automatic Key Rotation
- 자동 키 순환은 고객 관리 CMK에 대해 활성화할 수 있음
AWS 관리 CMK에서는 불가능 - 자동 키 순환을 활성화하면 매년 한 번씩 일어나며 주기는 바꿀 수 없음
1년 후에 키가 변경되지만 과거 데이터를 복호화할 수 있도록 하기 위해 이전 키도 유효한 상태로 유지됨 - 새로운 키는 동일한 CMK ID를 가지게 되며 백업 키(키의 백업 자료)만 바뀌게 되는 것
- 백업 키와 CMK ID가 있을 때 매년 일어나는 자동 순환 후에 백업 키가 변경됨
- CMK ID는 변하지 않으며 과거 데이터를 복호화할 수 있도록 이전 백업 키도 저장됨
KMS Manual Key Rotation
- 수동으로 키를 순환시키는 것도 가능
예) 요구사항에 따라 매 90일 또는 매 180일마다 키를 순환시킬 수 있음 - 수동으로 생성했으므로 새로운 키는 다른 CMK OD를 가지게 되며 과거 데이터를 복호화하기 위해 이전 키도 유효한 상태로 보관
- 데이터를 암호화 및 복호화할 때 별칭을 사용하는 것이 더 좋음
별칭을 사용하면 애플리케이션에 대해 키가 변경된 것을 숨길 수 있음 - 예) 클라이언트가 별칭 MyCustomKey와 통신 중이며 CMK ID와 백업 키가 존재
새로운 키를 생성함으로써 수동으로 키를 순환시키고 별칭을 변경하면 새로운 CMK ID가 생성되며 이전 백업 키도 여전히 유지
이제 클라이언트는 새로운 별칭이 새로운 자료를 가리키게 됨
KMS Alias Updating
- 애플리케이션에 대해 변경을 숨기기 위해 별칭을 사용
- 예) 애플리케이션이 API 관점에서 키 별칭 MyAppKey와 상호작용
키 별칭의 이전 키는 순환 이전에 가졌던 것이고 순환 이후 새로운 키를 생성한 후 UpdateAlias API를 호출
그러면 UpdateAlias API는 별칭이 새로운 키를 가리키도록 하므로
애플리케이션 관점에서는 변경을 인지하지 못하고 그대로 봉게 되는 것
'Cloud > AWS' 카테고리의 다른 글
| [SAA] AWS Secrets Manager 개요 (0) | 2022.04.22 |
|---|---|
| [SAA] SSM 매개변수 저장소 개요 (0) | 2022.04.22 |
| [SAA] KMS 개요 (0) | 2022.04.21 |
| [SAA] 암호화 101 (0) | 2022.04.21 |
| [SAA] AWS 보안 섹션 소개 (0) | 2022.04.21 |
