1. 개요
- KMS 키 값 유출 등 예상치 못한 사유로 인해 자동 교체 주기 이전에 KMS 키를 교체해야 할 경우 수동으로 교체 필요
2. 취약점 판단 기준
- 관련 담당자가 KMS 키의 수동 교체 방법을 알지 못하고, 관련 절차를 수립하지 않은 경우 취약
- 관련 담당자가 KMS 키의 수동 교체 방법을 명확히 이해하고, 관련 절차를 수립한 경우 취약하지 않음
3. 취약점 확인 방법
- 담당자 인터뷰 및 관련 증적을 통해 KMS 키 수동 교체 절차와 방법을 수립하였는지 확인
4. 취약점 조치 방법
- 교체하고자 하는 alias의 KeyId 확인
- Command
aws kms list-aliases
- Command
- 새로 교체할 키 생성
- Command
aws kms create-key
- Command
- 새로 생성한 키의 alias를 기존 키의 alias로 수정
- Command
aws kms update-alias --alias-name alias/target-key --target-key-id [새로 생성한 키의 KeyId]
- Command
- alias의 교체된 KeyId 확인
- Command
aws kms list-aliases
- Command
5. 참고
Security Compliance Engineer