의 저장 시 암호화 ElastiCache - Amazon ElastiCache
제약 조건에서 고객 관리형 키 사용 AWS KMS저장 데이터 암호화 활성화참고

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 저장 시 암호화 ElastiCache

데이터를 안전하게 유지하기 위해 Amazon ElastiCache 과 Amazon S3는 캐시의 데이터에 대한 액세스를 제한하는 다양한 방법을 제공합니다. 자세한 내용은 Amazon VPCs 및 ElastiCache 보안Amazon용 자격 증명 및 액세스 관리 ElastiCache 단원을 참조하세요.

ElastiCache 저장 시 암호화는 온디스크 데이터를 암호화하여 데이터 보안을 강화하는 기능입니다. 이 기능은 서버리스 캐시에서 항상 활성화되어 있습니다. 이 기능이 활성화되어 있으면 다음과 같은 항목이 암호화됩니다.

  • 동기화, 백업 및 스왑 작업 중 디스크

  • Amazon S3에 저장된 백업

데이터 계층화가 활성화된 클러스터의 SSDs (솔리드 스테이트 드라이브)에 저장된 데이터는 항상 암호화됩니다.

ElastiCache 는 저장 시 기본(서비스 관리형) 암호화와 AWS Key Management Service(KMS)에서 자체 대칭 고객 관리 AWS KMS형 키를 사용할 수 있는 기능을 제공합니다. 캐시가 백업되면 암호화 옵션에서 기본 암호화 키를 사용할지 또는 고객 관리 키를 사용할지 선택합니다. 자세한 내용은 저장 데이터 암호화 활성화 단원을 참조하십시오.

참고

기본(서비스 관리형) 암호화는 GovCloud (미국) 리전에서 사용할 수 있는 유일한 옵션입니다.

중요

기존 자체 설계된 Valkey 또는 Redis OSS 클러스터에서 at-Rest Encryption을 활성화하려면 복제 그룹에서 백업 및 복원을 실행한 기존 복제 그룹을 삭제해야 합니다.

저장 시 암호화는 캐시를 생성할 때만 캐시에 대해 활성화할 수 있습니다. 데이터를 암호화 및 해독하기 위해 몇 가지 처리가 필요하기 때문에 미사용 데이터 암호화를 활성화하면 이러한 작업 중 성능에 영향이 있을 수 있습니다. 사용 사례에 대한 성능 영향을 파악하기 위해서는 미사용 데이터 암호화를 사용한 상태와 사용하지 않은 상태에서 데이터를 벤치마크해야 합니다.

미사용 데이터 암호화 조건

저장 ElastiCache 시 암호화 구현을 계획할 때는 저장 시 ElastiCache 암호화에 대한 다음 제약 조건을 염두에 두어야 합니다.

  • 저장 시 암호화는 Valkey 7.2 이상 및 Redis OSS 버전(에 예약된 3.2.6EOL, Redis OSS 버전 수명 종료 일정 참조), 4.0.10 이상을 실행하는 복제 그룹에서 지원됩니다.

  • 저장 시 암호화는 Amazon 에서 실행되는 복제 그룹에 대해서만 지원됩니다VPC.

  • 유휴 데이터 암호화는 다음 노드 유형을 실행하는 복제 그룹에 대해서만 지원됩니다.

    • R6gd, R6g, R5, R4, R3

    • M6g, M5, M4, M3

    • T4g,T3, T2

    자세한 내용은 지원되는 노드 유형 섹션 참조

  • 미사용 데이터 암호화는 AtRestEncryptionEnabled 파라미터를 명시적으로 true로 설정해 활성화합니다.

  • 복제 그룹을 생성하는 경우에만 복제 그룹에 대해 미사용 데이터 암호화를 활성화할 수 있습니다. 복제 그룹을 수정하는 방법으로는 미사용 데이터 암호화 켜기 또는 끄기로 전환할 수 없습니다. 기존 복제 그룹에 대해 미사용 데이터 암호화를 구현하는 방법에 대한 자세한 내용은 저장 데이터 암호화 활성화 섹션을 참조하세요.

  • 클러스터가 r6gd 패밀리의 노드 유형을 사용하는 경우 저장 시 암호화 활성화 여부와 관계없이 에 저장된 데이터가 암호화SSD됩니다.

  • 저장 시 암호화에 고객 관리형 키를 사용하는 옵션은 AWS GovCloud (us-gov-east-1 및 us-gov-west-1) 리전에서 사용할 수 없습니다.

  • 클러스터가 r6gd 패밀리의 노드 유형을 사용하는 경우 에 저장된 데이터는 선택한 고객 관리 AWS KMS형 키(또는 AWS GovCloud 리전의 서비스 관리형 암호화)로 암호화SSD됩니다.

  • Memcached를 사용하면 서버리스 캐시에서만 저장 시 암호화가 지원됩니다.

  • Memcached를 사용하는 경우 GovCloud (us-gov-east-1 및 -1 us-gov-west) 리전에서 AWS 유휴 암호화에 고객 관리형 키를 사용하는 옵션을 사용할 수 없습니다.

미사용 데이터 암호화를 구현하면 백업 및 노드 동기화 작업 중 성능이 저하될 수 있습니다. 이러한 암호화가 구현 성능에 미치는 영향을 확인하려면 미사용 데이터 암호화와 데이터를 암호화하지 않은 경우를 비교해 벤치마크하세요.

에서 고객 관리형 키 사용 AWS KMS

ElastiCache 는 저장 시 암호화를 위한 대칭 고객 관리 AWS KMS형 키(KMS 키)를 지원합니다. 고객 관리형 KMS 키는 AWS 계정에서 생성, 소유 및 관리하는 암호화 키입니다. 자세한 내용은 AWS KMS Key AWS Management Service 개발자 안내서의 키를 참조하세요. 키를 에서 AWS KMS 생성해야 에서 사용할 수 있습니다 ElastiCache.

루트 키를 생성하는 AWS KMS 방법을 알아보려면 Key AWS Management Service 개발자 안내서의 키 생성을 참조하세요.

ElastiCache 를 사용하면 와 통합할 수 있습니다 AWS KMS. 자세한 내용은 AWS Key Management Service 개발자 안내서권한 부여 사용을 참조하세요. Amazon과 의 ElastiCache 통합을 활성화하기 위해 고객 조치가 필요하지 않습니다 AWS KMS.

kms:ViaService 조건 키는 키(KMS 키) 사용을 AWS KMS 지정된 AWS 서비스의 요청으로 제한합니다. 와 kms:ViaService 함께 사용하려면 조건 키 값인 elasticache.AWS_region.amazonaws.com 및 에 두 ViaService 이름을 모두 ElastiCache포함합니다dax.AWS_region.amazonaws.com. 자세한 내용은 kms:ViaService를 참조하세요.

AWS CloudTrail 를 사용하여 Amazon이 사용자를 대신하여 ElastiCache 보내는 AWS Key Management Service 요청을 추적할 수 있습니다. 고객 관리형 키와 AWS Key Management Service 관련된 에 대한 모든 API 호출에는 해당 CloudTrail 로그가 있습니다. ListGrants KMS API 또한 호출을 호출하여 가 ElastiCache 생성하는 권한 부여를 볼 수 있습니다.

고객 관리형 키를 사용하여 복제 그룹을 암호화하면 복제 그룹에 대한 모든 백업이 다음과 같이 암호화됩니다.

  • 자동 일일 백업은 클러스터와 연결된 고객 관리형 키를 사용하여 암호화됩니다.

  • 복제 그룹을 삭제할 때 생성된 최종 백업은 복제 그룹에 연결된 고객 관리형 키를 사용하여 암호화됩니다.

  • 수동으로 생성된 백업은 복제 그룹과 연결된 KMS 키를 사용하도록 기본적으로 암호화됩니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.

  • 백업 복사는 기본적으로 소스 백업과 연결된 고객 관리형 키를 사용합니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.

참고

  • 선택한 Amazon S3 버킷으로 백업을 내보낼 때 고객 관리형 키를 사용할 수 없습니다. 그러나 Amazon S3으로 내보낸 모든 백업은 서버 측 암호화를 사용하여 암호화됩니다. 백업 파일을 새 S3 객체에 복사하고 고객 관리형 KMS 키를 사용하여 암호화하거나, 키를 사용하여 기본 암호화로 설정된 다른 S3 버킷에 파일을 복사KMS하거나, 파일 자체에서 암호화 옵션을 변경할 수 있습니다.

  • 또한 고객 관리형 키를 사용하여 암호화에 고객 관리형 키를 사용하지 않는 복제 그룹에 대해 수동으로 생성한 백업을 암호화할 수도 있습니다. 이 옵션을 사용하면 원본 복제 그룹에서 데이터가 암호화되지 않더라도 Amazon S3에 저장된 백업 파일이 KMS 키를 사용하여 암호화됩니다.

백업에서 복원하면 새 복제 그룹을 생성할 때 사용할 수 있는 암호화 옵션과 유사한 암호화 옵션을 선택할 수 있습니다.

  • 캐시를 암호화하는 데 사용한 키에 대해 키를 삭제하거나, 키를 비활성화하거나, 권한 부여를 취소하면 캐시를 복구할 수 없게 됩니다. 즉, 하드웨어 장애 후에는 수정하거나 복구할 수 없습니다. AWS KMS 는 최소 7일의 대기 기간이 지난 후에만 루트 키를 삭제합니다. 키를 삭제한 후 다른 고객 관리형 키를 사용하여 보관용 백업을 생성할 수 있습니다.

  • 자동 키 교체는 루트 키의 AWS KMS 속성을 보존하므로 데이터 액세스 기능에 영향을 주지 않습니다 ElastiCache . 암호화된 Amazon ElastiCache 캐시는 새 루트 키를 생성하고 이전 키에 대한 참조를 업데이트하는 수동 키 교체를 지원하지 않습니다. 자세한 내용은 Key Management Service 개발자 안내서의 키 교체 AWS KMS를 참조하세요. AWS

  • KMS 키를 사용하여 ElastiCache 캐시를 암호화하려면 캐시당 하나의 권한이 필요합니다. 이 권한은 캐시의 수명 기간 동안 사용됩니다. 또한 백업 생성 중에는 백업당 하나의 권한이 사용됩니다. 이 권한은 백업이 생성되면 폐기됩니다.

  • 권한 부여 및 제한에 대한 AWS KMS 자세한 내용은 AWS 키 관리 서비스 개발자 안내서제한을 참조하세요.

저장 데이터 암호화 활성화

모든 서버리스 캐시에는 저장 시 암호화가 활성화되어 있습니다.

자체 설계된 클러스터를 생성할 때 AtRestEncryptionEnabled 파라미터를 true로 설정하여 저장 시 암호화를 활성화할 수 있습니다. 기존 복제 그룹에 대해서는 미사용 데이터 암호화를 설정할 수 없습니다.

ElastiCache 캐시를 생성할 때 저장 시 암호화를 활성화할 수 있습니다. AWS Management Console, AWS CLI또는 를 사용하여 할 수 있습니다 ElastiCache API.

캐시를 생성할 때 다음 옵션 중 하나를 선택할 수 있습니다.

  • 기본값 – 이 옵션은 저장된 서비스 관리 암호화를 사용합니다.

  • 고객 관리형 키 - 이 옵션을 사용하면 저장 시 암호화를 위해 의 키 ID/ARN AWS KMS를 제공할 수 있습니다.

루트 키를 생성하는 AWS KMS 방법을 알아보려면 Key AWS Management Service 개발자 안내서의 키 생성을 참조하세요.

저장 시 암호화는 Valkey 또는 Redis OSS 복제 그룹을 생성할 때만 활성화할 수 있습니다. 미사용 데이터 암호화를 활성화하려는 기존 복제 그룹이 있으면 다음 작업을 수행하세요.

기존 복제 그룹에 대해 미사용 데이터 암호화를 활성화하려면

  1. 기존 복제 그룹의 백업을 수동으로 생성합니다. 자세한 내용은 수동 백업 지원을 참조하세요.

  2. 백업에서 복원하여 새 복제 그룹을 생성합니다. 새 복제 그룹에 대해 미사용 데이터 암호화를 활성화합니다. 자세한 내용은 백업에서 새 캐시로 복원을 참조하세요.

  3. 새 복제 그룹을 가리키도록 애플리케이션에서 엔드포인트를 업데이트합니다.

  4. 이전 복제 그룹을 삭제합니다. 자세한 내용은 에서 클러스터 삭제 ElastiCache 또는 복제 그룹 삭제을 참조하세요.

를 사용하여 휴지 시 암호화 활성화 AWS Management Console

모든 서버리스 캐시에는 저장 시 암호화가 활성화되어 있습니다. 기본적으로 AWS소유 KMS 키는 데이터를 암호화하는 데 사용됩니다. 자체 AWS KMS 키를 선택하려면 다음 항목을 선택합니다.

  • 기본 설정 섹션을 펼칩합니다.

  • 기본 설정 섹션에서 기본 설정 사용자 지정을 선택합니다.

  • 보안 섹션에서 보안 설정 사용자 지정을 선택합니다.

  • 암호화 키 설정에서 고객 관리를 CMK 선택합니다.

  • AWS KMS 키 설정에서 키를 선택합니다.

자체 캐시를 설계할 때 '간편한 생성' 메서드를 사용하는 '개발 및 테스트' 및 '프로덕션' 구성에서는 기본 키를 사용하여 저장 시 암호화가 활성화됩니다. 구성을 직접 선택할 때 다음과 같이 진행합니다.

  • 엔진 버전으로 버전 3.2.6, 4.0.10 또는 이후 버전을 선택합니다.

  • 저장 시 암호화활성화 옵션 옆에서 확인란을 클릭합니다.

  • 기본 키 또는 고객 관리형 CMK를 선택합니다.

step-by-step 절차는 다음을 참조하세요.

를 사용하여 휴지 시 암호화 활성화 AWS CLI

를 사용하여 Valkey 또는 Redis OSS 클러스터를 생성할 때 유휴 시 암호화를 활성화하려면 복제 그룹을 생성할 때 --at-rest-encryption-enabled 파라미터를 AWS CLI사용합니다.

다음 작업은 기본 복제본 1개와 읽기 전용 복제본 2개, 노드 OSS 3개(--num-cache-clusters)my-classic-rg로 Valkey 또는 Redis(클러스터 모드 비활성화됨) 복제 그룹을 생성합니다. 이 복제 그룹(-at-rest-encryption-enabled-)에 대해 유휴 시 암호화가 활성화됩니다.

다음 파라미터와 해당 값은 복제 그룹에 대한 암호화를 활성화하는 데 필요합니다.

키 파라미터

  • --engine- valkey 또는 이어야 합니다redis.

  • --engine-version—엔진이 Redis 인 경우 는 3.2.6, 4.0.10 이상이어야 OSS합니다.

  • --at-rest-encryption-enabled - 미사용 데이터 암호화를 활성화하기 위해 필요합니다.

예 1: 복제본이 있는 Valkey 또는 RedisOSS(클러스터 모드 비활성화됨) 클러스터

Linux, macOS, Unix의 경우:

aws elasticache create-replication-group \
    --replication-group-id my-classic-rg \
    --replication-group-description "3 node replication group" \
    --cache-node-type cache.m4.large \
    --engine redis \    
    --at-rest-encryption-enabled \  
    --num-cache-clusters 3

Windows의 경우:

aws elasticache create-replication-group ^
    --replication-group-id my-classic-rg ^
    --replication-group-description "3 node replication group" ^
    --cache-node-type cache.m4.large ^
    --engine redis ^    
    --at-rest-encryption-enabled ^  
    --num-cache-clusters 3 ^

추가 정보는 다음을 참조하세요.

 

다음 작업은 3개의 노드 그룹 또는 샤드OSS(--num-node-groups)를 my-clustered-rg 사용하여 Valkey 또는 Redis(클러스터 모드 활성화됨) 복제 그룹을 생성합니다. 각 노드에는 기본 복제본 1개와 읽기 전용 복제본 2개(--replicas-per-node-group)의 노드 3개가 있습니다. 이 복제 그룹(-at-rest-encryption-enabled-)에 대해 유휴 시 암호화가 활성화됩니다.

다음 파라미터와 해당 값은 복제 그룹에 대한 암호화를 활성화하는 데 필요합니다.

키 파라미터

  • --engine- valkey 또는 이어야 합니다redis.

  • --engine-version- 엔진이 Redis 인 경우 는 4.0.10 이상이어야 OSS합니다.

  • --at-rest-encryption-enabled - 미사용 데이터 암호화를 활성화하기 위해 필요합니다.

  • --cache-parameter-group - 이 클러스터 모드가 활성화된 복제 그룹을 만들려면 default-redis4.0.cluster.on 또는 이 클러스터에서 파생된 클러스터여야 합니다.

예 2: Valkey 또는 RedisOSS(클러스터 모드 활성화됨) 클러스터

Linux, macOS, Unix의 경우:

aws elasticache create-replication-group \
   --replication-group-id my-clustered-rg \
   --replication-group-description "redis clustered cluster" \
   --cache-node-type cache.m3.large \
   --num-node-groups 3 \
   --replicas-per-node-group 2 \
   --engine redis \
   --engine-version 6.2 \
   --at-rest-encryption-enabled \
   --cache-parameter-group default.redis6.x.cluster.on

Windows의 경우:

aws elasticache create-replication-group ^
   --replication-group-id my-clustered-rg ^
   --replication-group-description "redis clustered cluster" ^
   --cache-node-type cache.m3.large ^
   --num-node-groups 3 ^
   --replicas-per-node-group 2 ^
   --engine redis ^
   --engine-version 6.2 ^
   --at-rest-encryption-enabled ^
   --cache-parameter-group default.redis6.x.cluster.on

추가 정보는 다음을 참조하세요.

참고