기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 외부 키 저장소의 KMS 키 외부 키 스토어에서 KMS 키를 생성, 확인, 관리, 사용 및 삭제하도록 예약하려면 다른 KMS 키에 사용하는 것과 매우 유사한 절차를 사용합니다. 그러나 외부 키 스토어에서 KMS 키를 생성할 때는 [외부 키 스토어](keystore-external.md#concept-external-key-store)와 [외부 키](keystore-external.md#concept-external-key)를 지정합니다. 외부 키 스토어에서 KMS 키를 사용하면 외부 키 관리자가 지정된 외부 키를 사용하여 [암호화 및 복호화 작업](keystore-external.md#xks-how-it-works)을 수행합니다. AWS KMS 는 외부 키 관리자에서 암호화 키를 생성, 보기, 업데이트 또는 삭제할 수 없습니다. AWS KMS 는 외부 키 관리자 또는 외부 키에 직접 액세스하지 않습니다. 암호화 작업에 대한 모든 요청은 [외부 키 스토어 프록시](keystore-external.md#concept-xks-proxy)에 의해 조정됩니다. 외부 키 스토어에서 KMS 키를 사용하려면 KMS 키를 호스팅하는 외부 키 스토어가 외부 키 스토어 프록시에 [연결](xks-connect-disconnect.md)되어 있어야 합니다. **지원되는 기능** 이 섹션에서 설명한 절차 외에도 외부 키 스토어에서 KMS 키를 통해 다음을 수행할 수 있습니다. + [키 정책](key-policies.md), [IAM 정책](iam-policies.md) 및 [권한 부여](grants.md)를 사용하여 KMS 키에 대한 액세스를 제어합니다. + KMS 키를 [사용하거나 사용하지 않도록 설정](enabling-keys.md)합니다. 이러한 작업은 외부 키 관리자의 외부 키에 영향을 주지 않습니다. + [태그](tagging-keys.md)를 할당하고 [별칭](kms-alias.md)을 생성하고 [ABAC(속성 기반 액세스 제어)](abac.md)를 사용하여 KMS 키에 대한 액세스 권한을 부여합니다. + KMS 키를 이용하여 다음 암호화 작업을 수행합니다. + [암호화](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) 비대칭 데이터 키 페어를 생성하는 작업인 [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) 및 [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)는 사용자 지정 키 스토어에서 지원되지 *않습니다*. + [고객 관리형 키](concepts.md#customer-mgn-key)를 지원하고 [AWS KMS와 통합되는AWS 서비스](https://aws.amazon.com/kms/features/#AWS_Service_Integration)와 함께 KMS 키를 사용합니다. **지원되지 않는 기능** + 외부 키 스토어는 [대칭 암호화 KMS 키](symm-asymm-choose-key-spec.md#symmetric-cmks)만 지원합니다. 외부 키 스토어에서 HMAC KMS 키 또는 비대칭 KMS 키를 생성할 수 없습니다. + [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)와 [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)는 외부 키 스토어의 KMS 키에서 지원되지 않습니다. + [AWS::KMS::Key CloudFormation 템플릿](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)을 사용하여 외부 키 저장소를 생성하거나 외부 키 저장소에 KMS 키를 생성할 수 없습니다. + [다중 리전 키](multi-region-keys-overview.md)는 외부 키 스토어에서 지원되지 않습니다. + [가져온 키 구성 요소](importing-keys.md)가 있는 KMS 키는 외부 키 스토어에서 지원되지 않습니다. + 외부 키 스토어의 KMS 키에는 [자동 키 교체](rotate-keys.md)가 지원되지 않습니다. **외부 키 저장소에서 KMS 키 사용** 요청에서 KMS 키를 사용하는 경우 [키 ID, 키 ARN, 별칭 또는 별칭 ARN](concepts.md#key-id)으로 KMS 키를 식별합니다. 외부 키 스토어를 지정할 필요가 없습니다. 응답에는 모든 비대칭 암호화 KMS 키에서 반환된 동일한 필드가 포함되어 있습니다. 그러나 외부 키 스토어에서 KMS 키를 사용하면 외부 키 관리자가 KMS 키와 연결된 외부 키를 사용하여 암호화 및 복호화 작업을 수행합니다. 외부 키 스토어의 KMS 키로 암호화된 사이퍼텍스트가 최소한 표준 KMS 키로 암호화된 사이퍼텍스트만큼 안전한지 확인하기 위해는 [이중 암호화](keystore-external.md#concept-double-encryption)를 AWS KMS 사용합니다. 데이터는 먼저 AWS KMS 키 구성 요소를 AWS KMS 사용하여에서 암호화됩니다. 그런 다음 KMS 키의 외부 키를 사용하여 외부 키 관리자에 의해 암호화됩니다. 이중 암호화된 암호화 텍스트를 복호화하기 위해 먼저 KMS 키의 외부 키를 사용하여 외부 키 관리자에 의해 사이퍼텍스트가 복호화됩니다. 그런 다음 KMS 키의 AWS KMS 키 구성 요소를 AWS KMS 사용하여에서 복호화됩니다. 이것이 가능하려면 다음 조건이 충족되어야 합니다. + KMS 키의 [키 상태](key-state.md)가 `Enabled`여야 합니다. 키 상태를 찾으려면 [AWS KMS 콘솔](finding-keys.md#viewing-console-details)의 고객 관리형 키에 대한 **Status**(상태) 필드 또는 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 응답의 `KeyState` 필드를 확인합니다. + KMS 키를 호스팅하는 외부 키 스토어는 [외부 키 스토어 프록시](keystore-external.md#concept-xks-proxy)에 연결되어야 합니다. 즉, 외부 키 스토어의 [연결 상태](xks-connect-disconnect.md#xks-connection-state)가 `CONNECTED`여야 합니다. 연결 상태는 AWS KMS 콘솔의 **외부 키 스토어** 페이지 또는 [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 응답에서 볼 수 있습니다. 외부 키 스토어의 연결 상태는 AWS KMS 콘솔의 KMS 키에 대한 세부 정보 페이지에도 표시됩니다. 세부 정보 페이지에서 **Cryptographic configuration**(암호화 구성) 탭을 선택하고 **Custom key store**(사용자 지정 키 스토어) 섹션의 **Connection state**(연결 상태) 필드를 봅니다. 연결 상태가 `DISCONNECTED`면 먼저 연결해야 합니다. 연결 상태가 `FAILED`면 문제를 해결하고 외부 키 스토어를 연결 해제한 다음 연결해야 합니다. 지침은 [외부 키 저장소 연결 및 연결 해제](xks-connect-disconnect.md) 섹션을 참조하세요. + 외부 키 스토어 프록시는 외부 키를 찾을 수 있어야 합니다. + 외부 키가 활성화되고 암호화 및 복호화를 수행해야 합니다. 외부 키의 상태는 KMS 키 활성화 및 비활성화를 포함하여 KMS 키의 [키 상태](key-state.md) 변경과 독립적이며 영향을 받지 않습니다. 마찬가지로 외부 키를 비활성화하거나 삭제해도 KMS 키의 키 상태는 변경되지 않지만 연결된 KMS 키를 사용하는 암호화 작업은 실패합니다. 이러한 조건이 충족되지 않으면 암호화 작업이 실패하고가 `KMSInvalidStateException` 예외를 AWS KMS 반환합니다. [외부 키 스토어를 다시 연결](xks-connect-disconnect.md)하거나 외부 키 관리자 도구를 사용하여 외부 키를 재구성 또는 복구해야 할 수 있습니다. 추가적인 도움말은 [외부 키 스토어 문제 해결](xks-troubleshooting.md) 섹션을 참조하십시오. 외부 키 스토어에서 KMS 키를 사용할 때는 각 외부 키 스토어의 KMS 키가 암호화 작업에 대해 [사용자 지정 키 스토어 요청 할당량](requests-per-second.md#rps-key-stores)을 공유한다는 점에 유의하세요. 할당량을 초과하면가를 AWS KMS 반환합니다`ThrottlingException`. 사용자 지정 키 스토어 요청 할당량에 대한 자세한 내용은 [사용자 지정 키 스토어 요청 할당량](requests-per-second.md#rps-key-stores) 섹션을 참조하세요. **자세히 알아보기** + 외부 키 저장소에 대한 자세한 내용은 [외부 키 스토어](keystore-external.md) 단원을 참조하세요. + 외부 키 저장소의 키 구성 요소에 대한 자세한 내용은 [외부 키](keystore-external.md#concept-external-key) 단원을 참조하세요. + 외부 키 저장소에서 KMS 키를 생성하려면 [외부 키 저장소에서 KMS 키 생성](create-xks-keys.md) 단원을 참조하세요. + 외부 키 저장소에서 KMS 키를 식별하고 보려면 [외부 키 저장소에서 KMS 키 식별](identify-key-types.md#view-xks-key) 단원을 참조하세요. + 외부 키 저장소에서 KMS 키를 삭제할 경우의 특별한 고려 사항에 대해 알아보려면 [외부 키 저장소에서 KMS 키 삭제](deleting-keys.md#delete-xks-key)를 참조하세요.