

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Secrets Manager 보안 암호의 암호화 키 변경
<a name="manage_update-encryption-key"></a>

Secrets Manager는 AWS KMS 키와 데이터 키를 사용한 [봉투 암호화](security-encryption.md)를 사용하여 각 보안 암호 값을 보호합니다. 각 보안 암호에 사용할 KMS 키를 선택할 수 있습니다. 를 사용하거나 고객 관리형 키를 사용할 AWS 관리형 키 **aws/secretsmanager**수 있습니다. 대부분의 경우 **aws/secretsmanager** 사용을 권장하며, 이를 사용하는 데 드는 비용은 없습니다. 다른에서 보안 암호에 액세스해야 AWS 계정하거나 교체하거나 키 정책을 적용할 수 있도록 자체 KMS 키를 사용하려면를 사용합니다 고객 관리형 키. [KMS 키에 대한 권한](security-encryption.md#security-encryption-authz)이(가) 있어야 합니다. 고객 관리형 키 사용 비용에 대한 자세한 내용은 [가격 책정](intro.md#asm_pricing)을 참조하세요.

보안 암호에 대한 암호화 키를 변경할 수 있습니다. 예를 들어 [다른 계정에서 보안 암호에 액세스](auth-and-access_examples_cross.md)하려는 경우 현재 AWS 관리형 키를 사용하여 보안 암호가 암호화되어 `aws/secretsmanager`있는 경우 로 전환할 수 있습니다 고객 관리형 키.

**작은 정보**  
를 교체하려면 AWS KMS 자동 키 교체를 사용하는 고객 관리형 키것이 좋습니다. 자세한 내용은 [AWS KMS 키 교체를 참조하세요](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).

암호화 키를 변경하면 Secrets Manager가 새 키로 `AWSCURRENT`, `AWSPENDING`, `AWSPREVIOUS` 버전을 다시 암호화합니다. 보안 암호가 잠기는 것을 방지하기 위해 Secrets Manager는 모든 기존 버전을 이전 키로 암호화합니다. 즉, 이전 키 또는 새 키를 사용하여 `AWSCURRENT`, `AWSPENDING`, `AWSPREVIOUS` 버전을 복호화할 수 있습니다. 이전 키에 대한 `kms:Decrypt` 권한이 없는 경우, 암호화 키를 변경하면 Secrets Manager는 보안 암호 버전을 복호화하여 이를 다시 암호화할 수 없습니다. 이 경우 기존 버전은 다시 암호화되지 않습니다.

`AWSCURRENT`가 새 암호화 키로만 복호화할 수 있도록 하려면 새 키로 새 버전의 보안 암호를 생성합니다. 그런 다음, `AWSCURRENT` 보안 암호 버전을 복호화하려면 새 키에 대한 권한이 있어야 합니다.

이전 암호화 키를 비활성화하면 `AWSCURRENT`, `AWSPENDING` 및 `AWSPREVIOUS`을(를) 제외한 암호 버전을 해독할 수 없습니다. 레이블이 지정된 다른 보안 암호 버전에 계속 액세스하려는 경우 [AWS CLI](#manage_update-encryption-key_CLI)을(를) 사용하여 새 암호화 키로 해당 버전을 다시 생성해야 합니다.

**보안 암호에 대한 암호화 키 변경(콘솔)**

1. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)에서 Secrets Manager 콘솔을 엽니다.

1. 보안 암호 목록에서 보안 암호를 선택합니다.

1. 보안 암호 세부 정보 페이지의 **보안 암호 세부 정보** 섹션에서 **조치**를 선택한 후 **암호화 키 편집**을 선택합니다.

## AWS CLI
<a name="manage_update-encryption-key_CLI"></a>

보안 암호의 암호화 키를 변경한 다음 이전 암호화 키를 비활성화하면 `AWSCURRENT`, `AWSPENDING` 및 `AWSPREVIOUS`을(를) 제외한 보안 암호 버전을 해독할 수 없습니다. 레이블이 지정된 다른 보안 암호 버전에 계속 액세스하려는 경우 [AWS CLI](#manage_update-encryption-key_CLI)을(를) 사용하여 새 암호화 키로 해당 버전을 다시 생성해야 합니다.

**보안 암호에 대한 암호화 키 변경(AWS CLI)**

1. 다음 [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/update-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/update-secret.html) 예시에서는 시크릿 값을 암호화하는 데 사용되는 KMS 키를 업데이트합니다. KMS 키는 보안 암호와 동일한 리전에 있어야 합니다.

   ```
   aws secretsmanager update-secret \
         --secret-id MyTestSecret \
         --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
   ```

1. (선택 사항) 사용자 지정 레이블이 있는 보안 암호 버전이 있는 경우 새 키를 사용하여 다시 암호화하려면 해당 버전을 다시 만들어야 합니다.

   명령 셸에 명령을 입력하면 명령 기록이 액세스되거나 유틸리티가 명령 파라미터에 액세스할 위험이 있습니다. [를 사용하여 AWS Secrets Manager 보안 암호를 AWS CLI 저장할 때의 위험 완화](security_cli-exposure-risks.md)을(를) 참조하세요.

   1. 보안 암호 버전의 값을 가져옵니다.

      ```
      aws secretsmanager get-secret-value \
            --secret-id MyTestSecret \
            --version-stage MyCustomLabel
      ```

      보안 암호 값을 기록해 둡니다.

   1. 해당 값으로 새 버전을 생성합니다.

      ```
      aws secretsmanager put-secret-value \
          --secret-id testDescriptionUpdate \
          --secret-string "SecretValue" \
          --version-stages "MyCustomLabel"
      ```