기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 대칭 암호화 KMS 키 생성
이 주제에서는 키 구성 요소가 있는 단일 리전에 대한 [대칭 암호화 KMS 키인 기본 KMS](symm-asymm-choose-key-spec.md#symmetric-cmks) 키를 생성하는 방법을 설명합니다 AWS KMS. 이 KMS 키를 사용하여 AWS 서비스의 리소스를 보호할 수 있습니다.
AWS KMS 콘솔에서 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) API를 사용하거나 [AWS::KMS::Key CloudFormation 템플릿을 사용하여 대칭 암호화 KMS 키를 생성할 수 있습니다](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html).
기본 키 사양인 [SYMMETRIC\_DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks)는 대칭 암호화 KMS 키의 키 사양입니다. AWS KMS 콘솔에서 **대칭** 키 유형과 **암호화 및 복호화** 키 사용을 선택하면 `SYMMETRIC_DEFAULT` 키 사양이 선택됩니다. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업에서 `KeySpec` 값을 지정하지 않으면 SYMMETRIC\_DEFAULT가 선택됩니다. 다른 키 사양을 사용할 이유가 없다면 SYMMETRIC\_DEFAULT가 좋은 선택입니다.
KMS 키에 적용되는 할당량에 대한 자세한 내용은 [할당량](limits.md) 섹션을 참조하십시오.
## AWS KMS 콘솔 사용
를 사용하여 AWS KMS keys (KMS 키) AWS Management Console 를 생성할 수 있습니다.
**중요**
별칭, 설명 또는 태그에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. **키 생성**을 선택합니다.
1. 대칭 암호화 KMS 키를 생성하려면 **키 유형(Key type)**에 **대칭(Symmetric)**을 선택합니다.
1. **키 사용(Key usage)**에서 **암호화 및 해독(Encrypt and decrypt)** 옵션이 선택됩니다.
1. **다음**을 선택합니다.
1. KMS 키의 별칭을 입력합니다. 별칭은 **aws/**로 시작할 수 없습니다. **aws/** 접두사는 Amazon Web Services에서 예약하여 계정 AWS 관리형 키 에서 나타냅니다.
**참고**
별칭을 추가, 삭제 또는 업데이트하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 및 [별칭을 사용하여 KMS 키에 대한 액세스 제어](alias-authorization.md) 섹션을 참조하십시오.
별칭은 KMS 키를 식별하는 데 사용할 수 있는 표시 이름입니다. 보호하고자 하는 데이터의 유형 또는 KMS 키와 함께 사용할 애플리케이션을 나타내는 별칭을 선택하는 것이 좋습니다.
AWS Management Console에서 KMS 키를 생성할 때 별칭이 필요합니다. 이들은 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업을 사용할 때 선택 사항입니다.
1. (선택 사항) KMS 키에 대한 설명을 입력합니다.
[키 상태](key-state.md)가 `Pending Deletion` 또는 `Pending Replica Deletion`이 아닌 한 지금 설명을 추가하거나 언제든지 설명을 업데이트할 수 있습니다. 기존 고객 관리형 키에 대한 설명을 추가, 변경 또는 삭제하려면의 KMS 키에 대한 세부 정보 페이지에서 설명을 편집 AWS Management Console 하거나 [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html) 작업을 사용합니다.
1. (선택 사항) 태그 키와 태그 값(선택)을 입력합니다. KMS 키에 두 개 이상의 태그를 추가하려면 **태그 추가(Add tag)**를 선택합니다.
**참고**
KMS 키에 태그를 지정하거나 해제하면 KMS 키에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 및 [태그를 사용하여 KMS 키에 대한 액세스 제어](tag-authorization.md) 섹션을 참조하세요.
AWS 리소스에 태그를 추가하면가 태그별로 집계된 사용량 및 비용이 포함된 비용 할당 보고서를 AWS 생성합니다. KMS 키에 대한 액세스를 제어하는 데에도 태그를 사용할 수 있습니다. KMS 키 태그 지정에 대한 자세한 내용은 [의 태그 AWS KMS](tagging-keys.md) 및 [에 대한 ABAC AWS KMS](abac.md) 섹션을 참조하십시오.
1. **다음**을 선택합니다.
1. KMS 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다.
**참고**
이 키 정책은이 KMS 키를 AWS 계정 완전히 제어합니다. 계정 관리자가 IAM 정책을 사용하여 KMS 키를 관리할 수 있는 권한을 다른 보안 주체에게 부여하도록 허용합니다. 자세한 내용은 [기본 키 정책](key-policy-default.md)을 참조하세요.
IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자의 사용을 장려하지 않습니다. 가능할 경우, 임시 보안 인증 정보를 제공하는 IAM 역할을 사용하세요. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
AWS KMS 콘솔은 문 식별자 아래의 키 정책에 키 관리자를 추가합니다`"Allow access for Key Administrators"`. 이 문 식별자를 수정하면 문에 대해 콘솔이 업데이트 내용을 표시하는 방식에 영향을 미칠 수 있습니다.
1. (선택 사항) 선택한 IAM 사용자와 역할이 페이지 하단의 **키 삭제** 섹션에서 이 KMS 키를 삭제하지 못하도록 하려면 **키 관리자가 이 키를 삭제하도록 허용(Allow key administrators to delete this key)** 확인란의 선택을 취소합니다.
1. **다음**을 선택합니다.
1. [암호화 작업](kms-cryptography.md#cryptographic-operations)에서 키를 사용할 수 있는 IAM 사용자 및 역할을 선택합니다.
**참고**
IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자의 사용을 장려하지 않습니다. 가능할 경우, 임시 보안 인증 정보를 제공하는 IAM 역할을 사용하세요. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
AWS KMS 콘솔은 명령문 식별자 `"Allow use of the key"` 및 아래의 키 정책에 키 사용자를 추가합니다`"Allow attachment of persistent resources"`. 이러한 문 식별자들을 수정하면 문에 대해 콘솔이 업데이트 내용을 표시하는 방식에 영향을 미칠 수 있습니다.
1. (선택 사항) 다른 사용자가 암호화 작업에이 KMS 키를 AWS 계정 사용하도록 허용할 수 있습니다. 이렇게 하려면 페이지 하단의 **기타 AWS 계정** 섹션에서 **다른 추가 AWS 계정**를 선택하고 외부 계정의 AWS 계정 식별 번호를 입력합니다. 외부 계정을 여러 개 추가하려면 이 단계를 반복합니다.
**참고**
외부 계정의 보안 주체가 KMS 키를 사용하도록 허용하려면 외부 계정 관리자가 이러한 권한을 제공하는 IAM 정책을 생성해야 합니다. 자세한 정보는 [다른 계정의 사용자가 KMS를 사용하도록 허용](key-policy-modifying-external-accounts.md) 섹션을 참조하세요.
1. **다음**을 선택합니다.
1. 키에 대한 키 정책 문을 검토합니다. 키 정책을 변경하려면 **편집**을 선택하세요.
1. **다음**을 선택합니다.
1. 선택한 키 설정을 검토합니다. 여전히 돌아가서 모든 설정을 변경할 수 있습니다.
1. **마침(Finish)**을 선택하여 KMS 키를 생성합니다.
## AWS KMS API 사용
[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 작업을 사용하여 AWS KMS keys 모든 유형을 생성할 수 있습니다. 이 예제에서는 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)를 사용합니다. 다양한 프로그래밍 언어의 예는 [AWS SDK 또는 CLI와 `CreateKey` 함께 사용](example_kms_CreateKey_section.md) 섹션을 참조하십시오.
**중요**
`Description` 또는 `Tags` 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이러한 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
다음 작업은 AWS KMS에 의해 생성된 키 구성 요소를 기반으로 단일 리전에 대칭 암호화 키를 생성합니다. 이 작업에는 필수 파라미터가 없습니다. 그러나 `Policy` 파라미터를 사용하여 키 정책을 지정할 수도 있습니다. 언제든 키 정책([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html))을 변경하고 [설명](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 및 [태그](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) 등의 선택적 요소를 추가할 수 있습니다. [비대칭 키](asymm-create-key.md#create-asymmetric-keys-api), [다중 리전 키](create-primary-keys.md), [가져온 키 구성 요소](importing-keys-create-cmk.md#importing-keys-create-cmk-api)가 있는 키, [사용자 지정 키 스토어](create-cmk-keystore.md#create-cmk-keystore-api)의 키를 생성할 수도 있습니다. 클라이언트 측 암호화를 위한 데이터 키를 생성하려면 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 작업을 사용합니다.
`CreateKey` 작업을 사용하면 별칭을 지정할 수 없지만 [CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) 작업을 사용하여 새 KMS 키의 별칭을 만들 수 있습니다.
다음은 파라미터 없이 `CreateKey` 작업을 호출하는 예제입니다. 이 명령은 모든 기본값을 사용합니다. 그러면 AWS KMS가 생성한 키 구성 요소가 있는 대칭 암호화 KMS 키가 생성됩니다.
```
$ aws kms create-key
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1502910355.475,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"MultiRegion": false
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
}
}
```
새 KMS 키에 대한 키 정책을 지정하지 않으면 `CreateKey`가 적용하는 [기본 키 정책](key-policy-default.md)은 콘솔을 사용하여 새 KMS 키를 생성할 때 적용하는 기본 키 정책과 다릅니다.
예를 들어 이 [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) 작업 호출은 `CreateKey`가 적용하는 키 정책을 반환합니다. KMS 키에 대한 AWS 계정 액세스 권한을에 부여하고 KMS 키에 대한 AWS Identity and Access Management (IAM) 정책을 생성할 수 있습니다. IAM 정책 및 KMS 키의 키 정책에 대한 자세한 내용은 [KMS 키 액세스 및 권한](control-access.md) 섹션을 참조하십시오.
```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id" : "key-default-1",
"Statement" : [ {
"Sid" : "EnableIAMUserPermissions",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::{{111122223333}}:root"
},
"Action" : "kms:*",
"Resource" : "*"
} ]
}
```
------