233.자동으로 교체되는 KMS 타입은?

<1> 요청사항

조직 정책은 모든 암호화 키를 자동으로  12개월마다 순환되어야 한다.

AWS Key Management Service(KMS) key 는 어떤 타입을 써야 하나?

<2> 조치

Customer Master Key (CMK) 사용하라.

<3> 확인 

Customer Master Key (CMK)  > 암호화 구성에만   키 교체 옵션이 있다.

1. KMS key 타입은 3가지가 있다.

1)  AWS Managed Key : AWS 관리형 키

2)  Customer Master Key (CMK) : 고객 관리형 키

3)  Custome key stores : 사용자 지정키 스토어

1) Customer Master Key (CMK)  > 암호화 구성에만   키 교체 옵션이 있다.

automatic key rotation 
https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

Rotating customer master keys - AWS Key Management Service

참고:  사용자 지정 키 스토어

사용자가 소유하고 관리하는 AWS CloudHSM 클러스터를 사용하여 생성됩니다. 

그러므로 CMK용 키 구성 요소를 생성하고 CMK에서 암호화 작업을 수행하는 데 사용되는 HSM(하드웨어 보안 모듈)을 직접 제어할 수 있습니다. 자세히 알아보기 

감사합니다.