<1> 요청사항
조직 정책은 모든 암호화 키를 자동으로 12개월마다 순환되어야 한다.
AWS Key Management Service(KMS) key 는 어떤 타입을 써야 하나?
<2> 조치
Customer Master Key (CMK) 사용하라.
<3> 확인
Customer Master Key (CMK) > 암호화 구성에만 키 교체 옵션이 있다.
1. KMS key 타입은 3가지가 있다.
1) AWS Managed Key : AWS 관리형 키
2) Customer Master Key (CMK) : 고객 관리형 키
3) Custome key stores : 사용자 지정키 스토어
1) Customer Master Key (CMK) > 암호화 구성에만 키 교체 옵션이 있다.
automatic key rotation
https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
참고: 사용자 지정 키 스토어
사용자가 소유하고 관리하는 AWS CloudHSM 클러스터를 사용하여 생성됩니다.
그러므로 CMK용 키 구성 요소를 생성하고 CMK에서 암호화 작업을 수행하는 데 사용되는 HSM(하드웨어 보안 모듈)을 직접 제어할 수 있습니다. 자세히 알아보기
감사합니다.