기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 4단계: 키 구성 요소 가져오기
<a name="importing-keys-import-key-material"></a>

[키 구성 요소를 암호화](importing-keys-encrypt-key-material.md)한 후 AWS KMS key와 함께 사용할 키 구성 요소를 가져올 수 있습니다. 키 구성 요소를 가져오려면 [3단계: 키 구성 요소 암호화](importing-keys-encrypt-key-material.md)에서 암호화한 키 구성 요소와 [2단계: 래핑 퍼블릭 키 및 가져오기 토큰 다운로드](importing-keys-get-public-key-and-token.md)에서 다운로드한 가져오기 토큰을 업로드합니다. [퍼블릭 키와 가져오기 토큰을 다운로드했을 때](importing-keys-get-public-key-and-token.md) 지정한 KMS 키로 키 구성 요소를 가져와야 합니다. 키 구성 요소를 성공적으로 가져오면 KMS 키의 [키 상태](key-state.md)가 `Enabled` 상태로 변경되고 암호화 작업에 KMS 키를 사용할 수 있습니다.

키 구성 요소를 가져올 때 키 구성 요소에 대해 [선택적으로 만료 시간을 설정](#importing-keys-expiration)할 수 있습니다. 키 구성 요소가 만료되면, AWS KMS 가 키 구성 요소를 삭제하고 KMS 키를 사용할 수 없게 됩니다. 키 구성 요소를 가져온 후에는 현재 가져오기에 대한 만료 날짜를 설정, 변경 또는 취소할 수 없습니다. 이러한 값을 변경하려면 동일한 키 구성 요소를 [다시 가져와야](#reimport-key-material) 합니다.

오리진이 `EXTERNAL`인 모든 KMS 키의 경우, 처음 가져온 키 구성 요소가 현재 키 구성 요소가 되며 해당 키와 영구적으로 연결됩니다. `EXTERNAL` 오리진이 있는 대칭 암호화 키는 온디맨드 교체를 지원합니다. 온디맨드 교체를 지원하는 가져온 키에는 여러 키 구성 요소를 연결할 수 있습니다. 새 키 구성 요소를 가져오는 프로세스는 [새 키 구성 요소 가져오기](#import-new-key-material) 섹션에 설명된 대로 단일 리전 및 다중 리전 키에 따라 다릅니다. [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) 작업을 사용할 때 `importType` 파라미터를 `NEW_KEY_MATERIAL`로 설정해야 새 키 구성 요소를 KMS 키와 연결할 수 있습니다. 선택적 `ImportType` 파라미터의 기본값은 `EXISTING_KEY_MATERIAL`입니다. `ImportType` 파라미터를 생략하거나 `EXISTING_KEY_MATERIAL`로 지정하는 경우, KMS 키와 이전에 연결된 키 구성 요소를 가져와야 합니다.

비대칭 또는 `EXTERNAL` 오리진이 있는 HMAC KMS 키의 경우 키 구성 요소 하나만 키와 연결할 수 있습니다. AWS KMS 는 `ImportType` 파라미터와 함께 [ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) API 요청을 거부합니다.

KMS 키에 영구적으로 연결된 모든 키 구성 요소를 가져오면 KMS 키를 암호화 작업에 사용할 수 있습니다. 이 키 구성 요소 중 하나라도 삭제되거나 만료되도록 허용되면 KMS 키 상태는 `PendingImport`로 변경되며, 해당 키는 암호화 작업에 사용할 수 없습니다.

키 구성 요소를 가져오려면 [AWS KMS 콘솔](#importing-keys-import-key-material-console) 또는 [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) API를 사용할 수 있습니다. [AWS SDK](https://aws.amazon.com/tools/#sdk), [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/) 또는 [AWS Tools for PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/)을 사용하거나 직접HTTP 요청을 수행해 API를 사용할 수 있습니다.

키 구성 요소를 가져오면 [ImportKeyMaterial 항목이](ct-importkeymaterial.md) AWS CloudTrail 로그에 추가되어 `ImportKeyMaterial` 작업을 기록합니다. CloudTrail 항목은 AWS KMS 콘솔을 사용하든 AWS KMS API를 사용하든 동일합니다.

## 만료 시간 설정(선택 사항)
<a name="importing-keys-expiration"></a>

KMS 키에 대한 키 구성 요소를 가져올 때 가져오기 날짜로부터 최대 365일까지 키 구성 요소에 대한 선택적 만료 날짜 및 시간을 설정할 수 있습니다. 가져온 키 구성 요소가 만료되면 AWS KMS 삭제합니다. 이 작업은 KMS 키의 [키 상태](key-state.md#key-state-table)를 `PendingImport`로 변경하여 암호화 작업에 사용되지 않도록 합니다. KMS 키를 사용하려면 [원본 키 구성 요소의 사본을 다시 가져와야](#reimport-key-material) 합니다.

가져온 키 구성 요소가 자주 만료되도록 하면 규정 요구 사항을 충족하는 데 도움이 될 수 있지만 KMS 키로 암호화된 데이터에 추가적인 위험이 발생합니다. 원래 키 구성 요소의 사본을 다시 가져올 때까지 키 구성 요소가 만료된 KMS 키는 사용할 수 없으며 KMS 키로 암호화된 모든 데이터에 액세스할 수 없습니다. 원래 키 구성 요소의 사본 손실을 포함하여 어떤 이유로든 키 구성 요소를 다시 가져오지 못하면 KMS 키를 영구적으로 사용할 수 없으며 KMS 키로 암호화된 데이터를 복구할 수 없습니다.

이러한 위험을 완화하려면 가져온 키 구성 요소의 사본에 액세스할 수 있는지 확인하고 키 구성 요소가 만료되고 AWS 워크로드가 중단되기 전에 키 구성 요소를 삭제하고 다시 가져오도록 시스템을 설계합니다. 만료되기 전에 키 구성 요소를 다시 가져올 수 있는 충분한 시간을 제공하는 가져온 키 구성 요소의 만료 [경보를 설정](imported-key-material-expiration-alarm.md)하는 것이 좋습니다. 또한 CloudTrail 로그를 사용하여 [키 재료를 가져오고 다시 가져오는](ct-importkeymaterial.md) 작업과 [가져온 키 재료를 삭제](ct-deleteimportedkeymaterial.md)하는 작업, [만료된 키 재료를 삭제](ct-deleteexpiredkeymaterial.md)하는 AWS KMS 작업을 감사할 수 있습니다.

AWS KMS 는 삭제된 키 구성 요소를 복원, 복구 또는 재현할 수 없습니다. 만료 시간을 설정하는 대신 주기적으로 가져온 키 구성 요소를 프로그래밍 방식으로 [삭제](importing-keys-delete-key-material.md)하고 [다시 가져올](#reimport-key-material) 수 있지만 원래 키 구성 요소의 사본을 유지하기 위한 요구 사항은 동일합니다.

키 구성 요소를 가져올 때 가져온 키 구성 요소의 만료 여부와 시기를 결정합니다. 그러나 키 구성 요소를 다시 가져오면 만료 기능을 켜거나 끌 수 있으며 새로운 만료 시간을 설정할 수도 있습니다. [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)의 `ExpirationModel` 파라미터를 사용하여 만료를 켰다가(`KEY_MATERIAL_EXPIRES`) 끄고(`KEY_MATERIAL_DOES_NOT_EXPIRE`) `ValidTo` 파라미터를 사용하여 만료 시간을 설정합니다. 최대 시간은 가져오기 데이터로부터 365일입니다. 최소값은 없지만 시간은 미래여야 합니다.

## 키 구성 요소 설명 설정
<a name="set-key-material-description"></a>

`EXTERNAL` 오리진이 있는 대칭 암호화 키에는 여러 키 구성 요소가 연결될 수 있습니다. 이러한 키에 키 구성 요소를 가져올 때 선택적으로 키 구성 요소 설명을 지정할 수 있습니다. 이 설명은 해당 키 구성 요소가 AWS KMS외부에서 지속적으로 유지되는 위치를 추적하는 데 사용할 수 있습니다.

다중 리전 키의 경우 기본 리전 키에서만 키 구성 요소 설명을 설정하거나 변경할 수 있습니다.는 키 구성 요소 설명을 복제본 리전 키로 AWS KMS 자동 전파합니다.

## 새 키 구성 요소 가져오기
<a name="import-new-key-material"></a>

가져온 키 구성 요소를 사용하는 대칭 암호화 KMS 키에 대해 온디맨드 교체를 수행하려면 먼저 해당 KMS 키와 이전에 연결되지 않은 새 키 구성 요소를 가져와야 합니다.
+ **단일 리전 키**
  + 이 작업을 수행하려면 [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) 작업에서 `ImportType` 파라미터를 `NEW_KEY_MATERIAL`로 설정해 사용하세요. 이 키 구성 요소는 [RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html) 작업을 수행하거나에서 키를 교체할 때까지 키와 영구적으로 연결되지 않습니다 AWS Management Console. 그때까지 이 키 구성 요소는 `PENDING_ROTATION` 상태로 유지됩니다. KMS 키는 언제나 `PENDING_ROTATION` 상태의 키 구성 요소를 최대 하나만 가질 수 있습니다. 암호화 작업에서 키의 사용성에 영향을 주지 않고 `PENDING_ROTATION` 상태의 키 구성 요소를 삭제할 수 있습니다.
+ **다중 리전 키**
  + 키 구성 요소를 다중 리전 키로 가져오려면 먼저 새 키 구성 요소를 기본 리전 키로 가져와야 합니다. 새 키 구성 요소를 복제본 리전 키로 직접 가져올 수 없습니다. 새 키 구성 요소를 기본 리전 키로 가져온 후 동일한 키 구성 요소를 복제본 리전 키로 가져올 수 있습니다.
  + 이 작업을 수행하려면 기본 리전 키에 **NEW\_KEY\_MATERIAL** 대해 `ImportType` 파라미터가 로 설정된 [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) 작업을 사용합니다. 복제본 리전 키의 경우 `ImportKeyMaterial` 작업에 `ImportType`의 **EXISTING\_KEY\_MATERIAL** 파라미터를 사용합니다.
  + 대칭 암호화 다중 리전 키의 키 구성 요소는 키 구성 요소 상태가 `PENDING_ROTATION` 상태로 변경되기 전에 모든 복제본 리전 키와 기본 리전 키로 가져와야 합니다. 그때까지 새 키 구성 요소의 상태는 입니다`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`. KMS 키는 언제든지 `PENDING_ROTATION` 또는 `PENDING_MULTI_REGION_IMPORT_AND_ROTATION`상태에 최대 하나의 키 구성 요소를 가질 수 있습니다( [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)의 `KeyMaterialState` 설명 참조). `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` 또는 `PENDING_ROTATION` 상태의 키 구성 요소는 키와 영구적으로 연결되지 않으며 암호화 작업에서 키의 사용성에 영향을 주지 않고 삭제할 수 있습니다.

## 키 구성 요소 다시 가져오기
<a name="reimport-key-material"></a>

가져온 키 구성 요소가 있는 KMS 키를 관리하는 경우, 키 구성 요소를 다시 가져와야 할 수도 있습니다. 만료되거나 삭제된 키 구성 요소를 바꾸거나 키 구성 요소의 만료 모델 또는 만료 날짜를 변경하기 위해 키 구성 요소를 다시 가져올 수 있습니다.

보안 요구 사항을 충족하는 일정에 따라 언제든지 키 구성 요소를 다시 가져올 수 있습니다. 키 구성 요소가 만료 시간에 도달하거나 근접할 때까지 기다릴 필요가 없습니다.

키 구성 요소를 다시 가져오는 절차는 처음 키 구성 요소를 가져오는 절차와 동일하지만, 다음과 같은 예외가 있습니다.
+ 새 KMS 키를 만드는 대신 기존 KMS 키를 사용합니다. 가져오기 절차의 [1단계](importing-keys-create-cmk.md)를 건너뛸 수 있습니다.
+ 키 구성 요소를 다시 가져올 때 만료 모델 및 만료 날짜를 변경할 수 있습니다. 대칭 암호화 키의 경우 키 구성 요소 설명을 변경할 수도 있습니다.

  다중 리전 키의 경우 기본 리전 키에서만 키 구성 요소 설명을 설정하거나 변경할 수 있습니다.는 키 구성 요소 설명을 복제본 리전 키로 AWS KMS 자동 전파합니다.

키 구성 요소를 KMS 키로 가져올 때마다 해당 KMS 키의 [가져오기 토큰과 새 래핑 키를 다운로드하여 사용](importing-keys-get-public-key-and-token.md)해야 합니다. 래핑 절차는 키 구성 요소의 내용에 영향을 주지 않으므로 다른 래핑 퍼블릭 키와 다른 래핑 알고리즘을 사용하여 동일한 키 구성 요소를 가져올 수 있습니다.

## 키 구성 요소 가져오기(콘솔)
<a name="importing-keys-import-key-material-console"></a>

 AWS Management Console 를 사용하여 키 구성 요소를 가져올 수 있습니다.

1. **래핑된 키 구성 요소 업로드** 페이지에 있는 경우 [Step 10](#id-key-materials-step)으로 건너뛰세요.

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.

1. 탐색 창에서 **고객 관리형 키**를 선택합니다.

1. 퍼블릭 키와 가져오기 토큰을 다운로드한 KMS 키의 키 ID 또는 별칭을 선택합니다.

1. **암호화 구성(Cryptographic configuration)** 탭을 선택하고 해당 값을 봅니다. 탭은 **일반 구성** 섹션 아래의 KMS 키에 대한 세부 정보 페이지에 있습니다.

   키 구성 요소는 **오리진**이 **외부(키 구성 요소 가져오기)**인 KMS 키로만 가져올 수 있습니다. 가져온 키 구성 요소가 있는 KMS 키를 생성하는 방법은 [키의 AWS KMS 키 구성 요소 가져오기](importing-keys.md) 단원을 참조하십시오.

1. 키 유형에 따라 적절한 탭을 선택합니다.
   + 비대칭 키와 HMAC 키의 경우 **키 구성** 요소 탭을 선택합니다.
   + 대칭 암호화 키의 경우 **키 구성 요소 및 교체** 탭을 선택합니다.

1. 가져오기 작업을 선택합니다.
   + 비대칭 및 HMAC 키의 경우 **키 구성 요소 가져오기**를 선택합니다.
   + 대칭 암호화 키에서 다음 중 하나를 선택합니다.
     + **초기 키 구성 요소 가져오기**(키 구성 요소를 아직 가져오지 않은 경우)
     + **새 키 구성 요소 가져오기**(교체할 새 구성 요소 추가)
     + **키 구성 요소 다시 가져오기**(키 구성 요소 테이블의 **작업** 메뉴에서 사용 가능)
**참고**  
다중 리전 키의 경우 먼저 새 키 구성 요소를 기본 리전 키로 가져와야 합니다. 그런 다음 동일한 키 구성 요소를 각 복제본 리전 키로 가져옵니다.  
기본 다중 리전 키의 경우 **키 자료** 테이블에는 모든 **복제본 리전의 가져오기 상태를 표시하는 복제본 가져오기 상태** 열이 포함되어 있습니다(예: "가져온 3개 중 0개"). 복제본 가져오기 상태 값을 선택하여 각 복제본 리전의 가져오기 상태를 보여주는 모달을 엽니다. 모달은 새 **키 구성 요소를 가져오**지 않은 복제본 리전에 대한 키 구성 요소 가져오기 링크를 제공합니다.

1. 키 구성 요소를 다운로드하고, 토큰을 가져오고, 키 구성 요소를 암호화한 경우 **다음**을 선택합니다.
**참고**  
다중 리전 키의 경우 먼저 새 키 구성 요소를 기본 리전 키로 가져와야 합니다. 그런 다음 동일한 키 구성 요소를 복제본 리전 키로 가져올 수 있습니다.

1. <a name="id-key-materials-step"></a>**암호화된 키 구성 요소 및 가져오기 토큰** 섹션에서 다음을 수행하세요.

   1. **래핑된 키 구성 요소**에서 **파일 선택**을 선택합니다. 그런 다음, 래핑(암호화)된 키 구성 요소가 포함된 파일을 업로드합니다.

   1. **가져오기 토큰**에서 **파일 선택**을 선택합니다. [다운로드한](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console) 가져오기 토큰이 포함된 파일을 업로드합니다.

1. **Expiration option(만료 옵션)** 섹션에서 키 구성 요소의 만료 여부를 결정합니다. 만료 날짜와 시간을 설정하려면 **Key material expires(키 구성 요소 만료)**를 선택하고 캘린더를 사용해 날짜와 시간을 선택합니다. 현재 날짜 및 시간으로부터 최대 365일까지 날짜를 지정할 수 있습니다.

1. 대칭 암호화 키의 경우, 가져오는 키 구성 요소에 대한 설명을 선택적으로 지정할 수 있습니다.

1. **키 구성 요소 가져오기**를 선택합니다.

## 키 구성 요소 가져오기(AWS KMS API)
<a name="importing-keys-import-key-material-api"></a>

키 구성 요소를 가져오려면 [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)작업을 사용합니다. 다음의 예제는 [AWS CLI](https://aws.amazon.com/cli/)을(를) 사용하지만 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

이 예제 사용

1. `{{1234abcd-12ab-34cd-56ef-1234567890ab}}`을(를) 퍼블릭 키와 가져오기 토큰을 다운로드할 때 지정한 KMS 키의 키 ID로 바꿉니다. KMS 키를 식별하려면, 이 KMS 키의 [키 ID](concepts.md#key-id-key-id) 또는 [키 ARN](concepts.md#key-id-key-ARN)을 사용합니다. 이 작업에는 [별칭 이름](concepts.md#key-id-alias-name)이나 [별칭 ARN](concepts.md#key-id-alias-ARN)을 사용할 수 없습니다.

1. `{{EncryptedKeyMaterial.bin}}`을 암호화된 키 구성 요소가 포함된 파일 이름으로 바꿉니다.

1. `{{ImportToken.bin}}`을 가져오기 토큰이 포함된 파일 이름으로 바꿉니다.

1. 가져온 키 구성 요소가 만료되도록 하려면 `expiration-model` 파라미터 값을 기본값, `KEY_MATERIAL_EXPIRES`로 설정하거나 `expiration-model` 파라미터를 생략합니다. 그런 다음 `valid-to` 파라미터 값을 만료할 날짜와 시간으로 바꿉니다. 날짜 및 시간은 요청 시점으로부터 최대 365일이 될 수 있습니다.

   ```
   $ aws kms import-key-material --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}} \
       --encrypted-key-material fileb://{{EncryptedKeyMaterial.bin}} \
       --import-token fileb://{{ImportToken.bin}} \
       --expiration-model {{KEY_MATERIAL_EXPIRES}} \
       --valid-to {{2023-06-17T12:00:00-08:00}}
   ```

   가져온 키 구성 요소가 만료되지 않도록 하려면 명령에서 `expiration-model` 파라미터의 값을 `KEY_MATERIAL_DOES_NOT_EXPIRE`로 설정하고 `valid-to` 파라미터를 생략합니다.

   ```
   $ aws kms import-key-material --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}} \
       --encrypted-key-material fileb://{{EncryptedKeyMaterial.bin}} \
       --import-token fileb://{{ImportToken.bin}} \
       --expiration-model {{KEY_MATERIAL_DOES_NOT_EXPIRE}}
   ```

1. KMS 키와 이전에 연결되지 않은 새 키 구성 요소를 가져오려면 `ImportType` 파라미터를 `NEW_KEY_MATERIAL`로 설정하세요. 이 옵션은 대칭 암호화 키에만 사용할 수 있습니다. 이러한 키의 경우 선택적 `KeyMaterialDescription` 파라미터를 사용하여 다음 명령줄 예제에서 가져온 키 구성 요소에 대한 설명을 설정할 수도 있습니다.

   ```
   $ aws kms import-key-material --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}} \
       --encrypted-key-material fileb://{{EncryptedKeyMaterial.bin}} \
       --import-token fileb://{{ImportToken.bin}} \
       --expiration-model {{KEY_MATERIAL_EXPIRES}} \
       --valid-to {{2023-06-17T12:00:00-08:00}} \
       --import-type NEW_KEY_MATERIAL \
       --key-material-description {{"Q2 2025 Rotation"}}
   ```

1. 다중 리전 키의 경우 기본 리전 키에서만 키 구성 요소 설명을 설정하거나 변경할 수 있습니다.는 키 구성 요소 설명을 복제본 리전 키로 AWS KMS 자동 전파합니다.

**작은 정보**  
명령이 실패하면 `KMSInvalidStateException` 또는 `NotFoundException`이 표시될 수 있습니다. 요청을 재시도할 수 있습니다.