AWS 키 관리로 암호화 키 사용하기

튜토리얼
AWS

데이터를 빠르게 암호화하고 복호화하는 방법을 찾고 계신가요? AWS Key Management를 확인해보세요! 이 서비스는 암호화 키를 생성하고 관리함으로써 데이터에 높은 수준의 보안을 제공합니다. 또한, 누가 키에 액세스할 수 있고 어떤 작업을 수행할 수 있는지를 제어할 수도 있습니다.

본 자습서는 AWS Key Management에 대해 알아야 할 모든 내용을 다루는 것은 아닙니다. 하지만, 이 강력한 도구를 사용하는 기본 사항에 대한 개요를 제공할 것입니다.

AWS Key Management의 보안 장점을 활용하기 위해 계속 읽어보세요!

전제 조건

본 자습서는 실습을 위한 것입니다. 따라 해보려면 다음 사항이 필요합니다.

  • 활성화된 AWS 계정과 결제 정보. 무료로 AWS 계정을 생성할 수 있습니다. 여기에서 AWS 계정을 생성하세요. 무료 티어에는 이 자습서에 시작하는 데 충분한 서비스가 포함되어 있습니다.
  • 기기에 AWS CLI가 설치되어 있고 구성되어 있어야 합니다. 자세한 내용은 이 자습서를 참조하세요.

관련: AWS CLI 및 CloudFormation: 검증된 인프라

AWS 콘솔을 사용하여 KMS 키 생성하기

AWS 콘솔(GUI) 대신 AWS CLI를 선호하는 경우 계속 읽으십시오. 다음 섹션에서는 콘솔을 사용하여 KMS 키를 생성하는 방법을 안내합니다.

IAM 사용자 생성

시작하려면 AWS 명령 줄 인터페이스(CLI)에서 AWS 키 관리 서비스에 액세스하는 데 사용할 IAM 사용자를 만들어야 합니다.

IAM 사용자는 AWS 루트 계정 자격 증명과 별도입니다. IAM 사용자를 사용하는 것이 권장되는 모범 사례로 간주되며 AWS 계정의 리소스에 액세스 권한을 가진 사용자를 세밀하게 제어할 수 있습니다.

다음 단계에 따라 AWS 키 관리 서비스에 대한 암호 액세스를 사용하는 IAM 사용자를 만듭니다:

1. 루트 사용자로 AWS 관리 콘솔에 로그인합니다.AWS 관리 콘솔에 로그인합니다.

2. 서비스 검색 창에 IAM을 입력하고 검색 결과에서 IAM을 선택하여 IAM 콘솔을 엽니다. 이 콘솔에서 IAM 사용자 및 권한을 관리할 수 있습니다.

Opening the IAM console

3. 사용자 → 사용자 추가로 이동하여 새 IAM 사용자를 추가합니다.

Adding a new IAM user

4. 사용자 추가 페이지에서 다음 단계를 수행합니다.

새 사용자의 이름을 입력합니다. 이 예제에서는 KMSUserConsole로 지정됩니다.

암호 – AWS 관리 콘솔 액세스 라디오 버튼을 선택하고 > 자동 생성된 암호를 선택합니다. 이 옵션은 사용자의 임의의 암호를 생성합니다.

다음 로그인 때 사용자가 새 암호를 만들어야 한다는 확인란이 선택되지 않았는지 확인합니다. 이 작업은 암호를 재설정하지 않고도 이 사용자로 로그인할 수 있도록 합니다.

다음을 클릭하여 계속하십시오 : 권한.

Adding the IAM user details

5. 권한 설정 페이지에서 기존 정책을 직접 연결 옵션을 선택하십시오. 사용 가능한 정책 목록에서 AdministratorAccess를 선택하십시오. 이 정책은 사용자에게 키를 생성하고 관리하는 기능을 포함하여 AWS에 대한 완전한 액세스 권한을 부여합니다.

계속하려면 다음을 클릭하십시오 : 태그.

Setting permissions

6. 태그 추가(선택 사항) 페이지에서 관련 태그를 추가할 수 있습니다. 본 자습서에서는 태그를 추가하지 않습니다. 사용자의 권한과 정보를 검토하려면 다음을 클릭하십시오 : 검토.

Viewing the Add tags (optional) page

7. AdministratorAccess 정책이 선택되어 있는지 확인하고 새 IAM 사용자를 생성하기 위해 사용자 생성을 클릭하십시오.

AdministratorAccess

8. 몇 분 후 IAM 사용자 생성이 완료되고 성공 배너 메시지가 표시됩니다.

비밀번호를 안전한 장소에 복사하거나 다운로드하여 나중에 새 IAM 사용자로 로그인할 때 필요합니다.

메시지 옆의 URL을 클릭하여 IAM 사용자 로그인 페이지로 이동하십시오.

메시지 창을 닫으려면 닫기를 클릭하십시오.

IAM User creation completion

9. 다음 페이지에서 방금 생성한 사용자 이름과 비밀번호를 입력하고 로그인을 클릭하여 새 IAM 사용자로 로그인하십시오.

Signing in as the IAM user

AWS 콘솔을 사용하여 KMS 키 생성하기

IAM 사용자로 AWS 관리 콘솔에 로그인했으므로 첫 번째 KMS 키를 생성할 준비가 되었습니다.

AWS 콘솔을 사용하여 KMS 키를 생성하려면 다음 단계를 따르십시오.

1. 서비스 검색 바에 KMS를 입력하십시오. KMS 콘솔을 열려면 검색 결과에서 Key Management Service를 선택하십시오.

Opening the KMS console

2. 왼쪽 사이드바에서 “고객 관리 키”를 클릭하고 새 KMS 키를 만들려면 키를 만들어주세요.

Creating a new key

3. 다음 화면에서 다음을 수행하세요.

키 유형: 대칭을 선택하십시오. 이 유형의 키는 암호화 및 복호화에 사용되며 대부분의 사용 사례에 가장 적합합니다.

키 사용: 암호화 및 복호화를 선택하십시오. 이 키 사용은 암호화 및 복호화에 키를 사용할 수 있도록 합니다.

기타 설정은 기본값으로 유지하고 다음을 클릭하십시오.

Configuring keys

4. 키에 별칭을 입력하십시오. 이 별칭은 KMS 콘솔에서 키를 빠르게 식별하는 데 도움이 됩니다. 별칭은 1~256자 사이이어야 하며 영숫자 문자, 하이픈 (-) 및 밑줄 (_)만 포함할 수 있습니다.

별칭은 aws/로 시작할 수 없습니다. 이 접두사는 AWS 관리 키에 대해 예약되어 있습니다. 이 접두사를 사용하려고 하면 다음 오류 메시지가 표시됩니다.

Getting the aws/ is a restricted prefix error.

키에 설명을 입력하십시오. 이 필드는 선택 사항입니다만, 키의 사용 목적을 나중에 기억할 수 있도록 설명을 포함하는 것이 좋습니다.

기타 설정은 기본값으로 유지하고 계속하려면 다음을 클릭하십시오.

Adding an alias

5. 이전에 만든 사용자인 KMSUserConsole 옆의 확인란을 선택하십시오. 이 사용자는 이 키를 사용할 수 있는 유일한 사용자가 됩니다.

키 관리자가이 키를 삭제할 수 있도록 허용 확인란을 선택하지 마십시오. 다른 사람이 키를 삭제하지 못하도록합니다.

계속하려면 다음을 클릭하십시오.

Selecting key admin

Selecting the IAM users and roles that can access the KMS key in cryptographic operations

7. 마지막으로, 이전에 생성한 사용자 KMSUserConsole을 선택하고 다음을 클릭하세요. 이 동작을 통해 사용자는 암호화 및 데이터 복호화와 같은 암호학 작업에 대한 키를 사용할 수 있게 됩니다.

Completing the key creation process

최종적으로 ‘완료’ 버튼을 클릭하여 키 생성 프로세스를 완료하세요.

Viewing your keys

이제 새로 생성한 KMS 키는 KMS 콘솔의 고객 관리 키 섹션에 표시됩니다. 키의 상태, 키 ID, 별칭 등과 같은 정보를 볼 수 있습니다.

AWS 콘솔을 사용한 KMS 키 관리

이제 KMS 키를 만들었으므로 다음 섹션에서는 AWS 콘솔을 사용하여 키를 관리하는 방법을 안내합니다.

KMS 키 편집

KMS 키의 설정을 언제든지 변경하려면 다음 단계를 따르세요:

Opening the key details page.

1. 편집하려는 키의 하이퍼링크를 클릭합니다. 이 동작은 키 세부 정보 페이지를 엽니다.

Click on the Edit button.

2. 페이지 우측 상단의 ‘편집’ 버튼을 클릭합니다.

make to the key and click Save

3. 키에 원하는 변경 사항을 가하고 ‘저장’을 클릭합니다. 변경할 수 있는 유일한 항목은 설명뿐임을 알아두세요.

KMS 키 비활성화 및 활성화

원하는 경우 언제든지 KMS 키를 비활성화 및 활성화할 수 있습니다. 기본적으로 모든 키는 처음 생성될 때 활성화됩니다. 키가 손상될 수 있으면 해당 키를 비활성화하여 자세한 조사를 진행하는 것이 좋습니다.1. 비활성화하려는 키 옆의 확인란을 선택하고 ‘키 작업 → 비활성화’를 클릭하세요.

Disabling a KMS Key

아래는 요청하신 텍스트의 한국어 번역입니다.

Confirming to disable a key

텍스트와

Viewing your key is disabled

등을 유지해 드렸습니다.

2. 키를 비활성화하려는 것을 확인하는 창이 표시됩니다. 이 키를 비활성화하려면 확인란 옆에 있는 확인란을 선택하고 비활성화를 클릭하세요.

Key actions → Enable.

이제 키가 비활성화되었으며 키 세부 정보 페이지에 메시지가 표시됩니다. 키의 상태도 아래와 같이 비활성화로 변경됩니다.

3. 조사가 완료되면 키를 다시 활성화하고 키를 사용할 준비가 되었습니다. 활성화하려는 키 옆의 확인란을 선택하고 → 키 작업 → 활성화를 클릭하세요.

AWS CLI를 사용하여 KMS 키 만들기

AWS CLI를 사용하는 것을 좋아하는 팬이신가요? 그럼 축하합니다! AWS CLI를 사용하여 KMS 키를 만들 수도 있습니다. 이 섹션에서는 프로그래밍 액세스를 갖는 IAM 사용자를 만드는 방법을 알려줍니다.

프로그래밍 액세스를 사용하려면 액세스 키를 사용하여 AWS CLI에서 암호 없이 인증하는 IAM 사용자가 필요합니다. 프로그래밍 액세스는 API 호출에 액세스 키 ID와 비밀 액세스 키의 조합을 사용합니다.

프로그래밍 액세스를 갖는 IAM 사용자 만들기

AWS 콘솔에서 KMSUserCli라는 새 IAM 사용자를 만드는 단계(1에서 4단계 참조)를 수행하세요.

AWS 액세스 유형 선택 단계에 도달하면 프로그래밍 액세스 선택하고 다음: 권한 클릭.

Selecting Programmatic access

기존 정책 직접 연결 선택. AdministratorAccess 옆의 확인란을 선택하고 다음: 태그를 클릭하세요.

Selecting permissions

4. 태그를 추가하지 않고 다음을 클릭하십시오: 검토.

Skip adding tags

5. 마지막으로, 사용자를 만들려면 사용자를 만들어야합니다.

Creating an IAM user

프로세스가 완료되면 아래와 같은 화면이 표시됩니다. 새로운 사용자의 액세스 키 ID 및 비밀 액세스 키가 표시됩니다. 이것들은 AWS CLI를 구성하는 데 사용할 키입니다. 이 페이지 이후에는 다시 볼 수 없으므로 이러한 키를 안전한 장소에 저장하십시오!

이러한 키를 공개 CI/CD 파이프라인이나 GitHub 또는 기타 공개 포럼의 주석에서 공유하지 마십시오!

관련:Jenkins CI CD 파이프라인 만들기

Viewing your access keys

AWS CLI 프로필 구성

이제 IAM 사용자를 만들었으므로 해당 사용자의 자격 증명을 사용하여 AWS Key Management Service에 액세스할 수 있도록 컴퓨터에 AWS 프로필을 설정해야합니다.

다음 단계를 따라 AWS 프로필을 구성하십시오:

1. 관리자로 PowerShell 또는 명령 프롬프트를 엽니다.

관련:PowerShell이란 무엇이며 왜 사용해야합니까?

2. 아래 명령을 실행하여 AWS CLI가 설치되었는지 확인합니다. 설치되어 있으면 아래 스크린샷과 유사한 화면이 표시됩니다.

aws --version
Verify if you have the AWS CLI installed.

3. 이제 아래 명령을 실행하여 새 프로필을 설정합니다.

aws configure

4. 프롬프트에서 다음 정보를 입력하십시오.

  • AWS 액세스 키 ID: 이전에 생성한 IAM 사용자의 액세스 키 ID를 입력하십시오.
  • AWS 비밀 액세스 키: 이전에 생성한 IAM 사용자의 비밀 액세스 키를 입력하십시오.
  • 기본 지역 이름: 선호하는 지역을 입력하십시오. 이 튜토리얼에서는 us-west-2를 사용합니다.
  • 기본 출력 형식: JSON을 입력하십시오. JSON 형식의 출력은 읽기 쉽습니다.
Configuring a profile in AWS CLI

AWS CLI를 사용하여 KMS 키 만들기

프로그래밍 방식으로 액세스할 수 있는 IAM 사용자가 있으므로 이제 KMS 키를 만들 수 있습니다.

다음 명령을 실행하여 새 KMS 키를 만듭니다.

aws km create-key

다음과 유사한 출력이 표시됩니다. KeyId는 새 KMS 키의 식별자입니다. 나중에 필요하므로 기록해 두세요.

Creating a KMS Key Using The AWS CLI.

키 정책을 명시적으로 지정하지 않았으므로 AWS KMS는 새 키에 대한 기본 키 정책을 만듭니다. 이 정책은 루트 사용자에게 키의 완전한 제어 권한을 부여하며 AWS Identity and Access Management (IAM) 사용자 및 역할을 만들 수 있는 권한을 포함합니다.

다음 명령을 실행하여 새 KMS 키의 키 정책을 검색합니다. --key-id 인수를 새 KMS 키의 실제 KeyId로 교체하십시오. 이 명령은 새 KMS 키의 키 정책이 포함된 텍스트 문서를 반환합니다.

aws km get-key-policy --key-id you_KeyId_here --policy-name default --output text

출력은 다음과 같아야 합니다.

Retrieving the key policy of your new KMS key.

AWS CLI를 사용하여 KMS 키 관리

KMS 키를 생성한 후에는 AWS CLI를 사용하여 해당 키를 관리하는 방법을 배울 수 있습니다. 이 섹션에서는 KMS 키를 나열, 비활성화 및 활성화하는 방법을 알려드립니다.

원하는 시점에 KMS 키를 비활성화하거나 활성화할 수 있습니다. KMS 키를 비활성화하는 것은 잠재적인 오용을 조사하거나 일시적으로 키 사용을 중지해야 하는 경우에 유용합니다.

1. 다음 명령을 실행하여 KMS 키를 비활성화합니다. -key-id 인수를 실제 KMS 키의 KeyId로 바꿉니다. 이 명령에는 출력이 없습니다.

aws aws kms disable-key --key-id you_KeyId_here
Disabling a KMS key.

2. 키가 비활성화되었는지 확인하려면 다음 명령을 실행합니다. 출력에 “KeyState”: “Disabled” 필드가 포함되어야 합니다.

aws kms describe-key --key-id you_KeyId_here
Verifying that the key is disabled.

3. 키를 활성화하려면 다음 명령을 실행합니다. 마찬가지로, 이 명령에는 출력이 없습니다.

aws kms enable-key --key-id you_KeyId_here
aws kms describe-key --key-id you_KeyId_here
Enabling the key.

4. 마지막으로, 다음 명령을 실행하여 계정에 있는 모든 KMS 키를 나열합니다. 출력에는 각 키의 keyId 및 KeyArn과 같은 정보가 포함됩니다.

aws kms list-keys
Listing all the KMS keys in your account,

결론

이 문서에서는 AWS CLI와 AWS 콘솔을 사용하여 KMS 키를 생성하고 관리하는 방법을 배웠습니다. 또한 AWS CLI가 KMS 키를 관리할 수 있도록 프로그래밍 방식의 액세스를 허용하는 IAM 사용자를 생성하는 방법도 배웠습니다.

AWS 키 관리 기술은 AWS를 사용하는 모든 사람에게 필수적이며, 특히 민감한 데이터를 관리하는 책임이 있는 경우에 더욱 중요합니다. 이 문서의 단계를 따라하면 이제 AWS KMS를 사용하기 위해 필요한 기술을 습득하게 될 것입니다.

이 새로 얻은 지식을 바탕으로, 왜 시간과 노력을 절약하기 위해 AWS CloudFormation으로 AWS KMS 리소스를 생성하지 않으려고 하시나요?

관련:AWS CLI 및 CloudFormation: 검증된 인프라 배포

Source:
https://adamtheautomator.com/aws-key-management/