AWS KMS 키의 상태 변경

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • Amazon Web Services Key Management System(AWS KMS) 키의 상태를 수정하고 상태를 인스턴스 ServiceNow 와 동기화합니다.

    시작하기 전에

    필요한 역할: admin, security_admin 및 sn_kmf.cryptographic_manager

    다음이 있는지 확인합니다.

    • ServiceNow 에서 (EKMS)로 외부 키 관리 서비스구성됨
    • AWS에서 키 상태를 수정할 수 있는 권한

    이 태스크 정보

    AWS KMS 키는 암호화 및 암호 해독 작업에 사용할 수 있는지 여부를 제어하는 다양한 상태를 가질 수 있습니다. AWS에서 키 상태를 변경하면 새 데이터를 암호화하고 ()EKMS에서 외부 키 관리 서비스 기존 데이터를 해독하는 기능에 영향을 미칩니다. 백그라운드 동기화 작업은 30분마다 현재 AWS 키 상태로 업데이트 EKMS 됩니다.

    중요사항:
    주요 상태 변경은 즉각적인 보안 및 운영에 영향을 미칩니다. 변경하기 전에 관리자 및 애플리케이션 팀과 모든 ServiceNow 주요 상태 변경을 조정합니다.

    프로시저

    1. AWS Key Management Service에 액세스합니다.
    2. 현재 키 상태를 검토합니다.
    3. 요구 사항에 따라 키 상태를 변경합니다.
      경고:
      키를 사용하지 않도록 설정하거나 삭제하면 새 데이터를 암호화하거나 기존 데이터를 해독할 수 없습니다 ServiceNow . 삭제를 비활성화하거나 예약하기 전에 데이터 마이그레이션 또는 키 복구에 대한 계획이 있는지 확인합니다.
    4. 예약된 동기화 작업이 키 상태 변경을 처리할 때까지 기다립니다.
      EKMS는 백그라운드 작업을 통해 30분마다 AWS 키 상태를 자동으로 동기화합니다. 이 작업은 30분 이내에 인스턴스의 키 상태 변경을 감지하고 업데이트합니다.
    5. 에서 업데이트된 EKMS키 상태를 확인합니다.
      외부 키 관리 서비스 키 상태 확인을 참조하십시오.
      AWS 키 상태가 와 동기화됩니다.EKMS

    결과

    새 상태가 구성에 EKMS 반영되고 암호화 및 암호 해독 작업이 새 키 상태에 따라 작동합니다.

    AWS에서 키를 비활성화하면 는 ServiceNow 관리자에게 다음과 같이 알리는 여러 알림을 제공합니다.

    • 구성 페이지에서 외부 키 상태 필드가 "사용 안 함" EKMS 으로 변경됩니다.
    • 우선 순위가 높은 보안 작업이 보안 센터에 자동으로 생성되어 관리자에게 키가 EKMS 비활성화되었음을 알립니다. 알림을 보려면 다음으로 이동하십시오. 모두 > 보안 센터 > 개요. 보안 센터를 참조하세요.

    키가 비활성화되어 있는 동안에는 암호화된 필드의 데이터를 암호화하거나 해독할 수 없습니다. 암호화된 필드가 필수 필드가 아닌 경우에도 기록을 생성할 수 있으며 기존 기록에서 암호화되지 않은 필드를 업데이트할 수 있습니다. AWS에서 키를 다시 사용하도록 설정할 때까지 모든 암호화 작업이 차단됩니다.

    다음에 수행할 작업

    키 상태 변경 후 중요 고려 사항:

    • AWS 키를 비활성화한 경우 다음을 수행합니다. 키를 다시 사용하도록 설정할 때까지 새 데이터는 암호화할 수 없으며 기존 암호화된 데이터는 해독할 수 없습니다. 이 시간 동안 암호화된 필드를 처리하는 방법을 계획합니다.
    • 이전에 사용하지 않도록 설정한 키를 활성화한 경우: 동기화 작업이 EKMS의 키 상태를 업데이트하면(30분 이내) 암호화 및 암호 해독 작업이 다시 시작됩니다. 테스트 단추를 클릭하여 EKMS 구성을 테스트합니다. 그런 다음 암호화된 모든 필드에 액세스할 수 있는지 확인합니다.
    • 키 삭제를 예약한 경우: 키가 영구적으로 삭제되기 전에 삭제를 취소할 수 있는 기간은 7일에서 30일(AWS 내의 삭제 일정에 따라 다름)입니다. 영구 삭제 후에는 암호화된 데이터를 복구할 수 없습니다.
    • 예약된 삭제를 취소한 경우: 키가 비활성화된 경우 활성화해야 합니다. 삭제를 취소해도 키가 자동으로 활성화되지는 않습니다.
    중요사항:
    자동 동기화 작업은 30분마다 실행됩니다. EKMS 는 AWS에서 상태 변경이 발생한 후 30분 이내에 자동으로 감지합니다.

    AWS에서는 키 삭제를 위해 최소 7일의 대기 기간을 요구합니다. 이 기간 동안 키 상태는 AWS 및 EKMS에서 모두 "삭제 보류 중"으로 표시됩니다. 삭제 보류 중인 동안에는 키를 사용할 수 없습니다. 7일이 지나면 키가 영구적으로 삭제되고 복구할 수 없습니다. 삭제된 키로 암호화된 모든 데이터는 영구적으로 액세스할 수 없게 됩니다.