[AWS SCS] KMS Key 삭제

KMS 키 삭제 및 관리 방법

AWS KMS(Key Management Service)는 키의 생성, 관리 및 삭제를 제어할 수 있는 기능을 제공합니다. 여기서는 KMS 키를 삭제하거나 비활성화하는 방법과 KMS 키 삭제가 발생할 때 이를 감지하는 방법을 설명합니다.

1. KMS 키 삭제

KMS에서 생성된 키는 삭제할 수 있습니다. 하지만 삭제는 즉시 이루어지지 않으며, 삭제 예약 후 7일에서 30일 사이의 대기 기간이 필요합니다. 이 대기 기간 동안 해당 키로 암호화나 복호화 작업을 시도하면 실패하게 됩니다. 대기 기간이 끝나면 키와 키 자료가 모두 삭제됩니다.

2. 키 비활성화

키를 삭제하는 대신 비활성화할 수도 있습니다. 키를 비활성화하면 즉시 비활성화되며, 나중에 다시 활성화할 수 있습니다. 이 방법은 일시적으로 키를 사용하지 않도록 설정하고, 필요 시 재사용할 수 있는 옵션입니다.

3. 외부 키 가져오기

외부에서 키를 가져온 경우, 해당 키에는 만료 기간을 설정할 수 있습니다. 만약 만료를 설정했다면, KMS는 키 자료를 자동으로 삭제하거나 사용자가 요청할 경우 즉시 삭제할 수 있습니다. 키 자료를 삭제하더라도 메타데이터는 유지되며, 나중에 키 자료를 재수입할 수 있습니다.

4. AWS 관리 키(AWS Managed Keys) 및 AWS 소유 키(AWS Owned Keys)

AWS에서 관리하는 키(AWS managed keys) 또는 AWS 소유 키는 삭제할 수 없습니다. 따라서 이러한 키에 대해 삭제 작업을 수행하는 것은 불가능합니다.

5. 키 삭제 감지 및 알림

KMS 키가 삭제 대기 상태일 때 이를 감지하고 알림을 받을 수 있는 방법은 CloudTrail, CloudWatch Logs, CloudWatch Alarms, SNS를 결합하여 사용하는 것입니다. 삭제 대기 상태에 있는 KMS 키로 암호화나 복호화 작업을 시도할 경우, 해당 시도는 실패하게 되고 CloudTrail에 기록됩니다. 이 기록을 CloudWatch Logs로 전송하고, CloudWatch Alarm을 설정하여 알림을 받을 수 있습니다. 또한, 알림을 SNS로 전송하여 관리자에게 이메일 알림을 보낼 수 있습니다.

6. CloudTrail과 EventBridge를 통한 알림

CloudTrail과 EventBridge를 사용하여, 사용자가 키를 비활성화하거나 삭제 예약을 했을 때 이를 감지하고 알림을 받을 수 있습니다. 이를 통해 중요한 KMS 작업이 진행될 때 실시간으로 대응할 수 있습니다. 이 방법은 AWS Systems Manager Automation과 함께 사용하여 키 삭제 예약을 취소하고 키를 정상 상태로 복구할 수 있습니다.

7. 다중 지역(Multi-Region) KMS 키 삭제

KMS 다중 지역 키의 경우, 주 키(primary key)를 삭제하기 전에 **복제 키(replica key)**를 먼저 삭제해야 합니다. 복제 키는 주 키에서 복원할 수 있기 때문에 삭제가 덜 위험하며, 먼저 삭제된 후 주 키 삭제 예약을 진행합니다. 이때도 7일에서 30일의 대기 기간이 적용됩니다. 복제 키를 먼저 삭제하고 주 키를 삭제하려면 최소 14일의 대기 기간이 필요합니다.

결론

KMS 키 삭제는 대기 기간을 거쳐 이루어지며, 비활성화나 외부 키 자료 삭제와 같은 다양한 관리 방법을 통해 키를 안전하게 관리할 수 있습니다. 또한, CloudTrail, CloudWatch, SNS 및 EventBridge를 활용하여 키 삭제나 비활성화 이벤트를 실시간으로 모니터링하고 대응할 수 있습니다. 이를 통해 보안 사고를 미연에 방지하고, 관리자의 즉각적인 조치를 도울 수 있습니다.