# DAX 저장 데이터 암호화
<a name="DAXEncryptionAtRest"></a>

Amazon DynamoDB Accelerator(DAX) 저장 데이터 암호화는 기본 스토리지에 대한 무단 액세스로부터 데이터의 보안을 유지할 수 있도록 지원함으로써 추가 계층의 데이터 보호를 제공합니다. 조직의 정책, 업계나 정부 규범 및 규정 준수 요건에 따라 유휴 시 암호화를 사용하여 데이터를 보호해야 할 수 있습니다. 클라우드에 배포된 애플리케이션의 데이터 보안을 향상하기 위해 암호화를 사용할 수 있습니다.

저장 데이터 암호화를 사용하면 DAX에 의해 디스크에 유지되는 데이터가 256비트 Advanced Encryption Standard(AES-256 암호화라고도 함)를 통해 암호화됩니다. DAX는 기본 노드에서 읽기 전용 복제본으로 변경 사항을 전파하는 작업의 일환으로 디스크에 데이터를 작성합니다.

DAX 저장 데이터 암호화는 클러스터를 암호화하는 데 사용되는 단일 서비스 기본 키를 관리하기 위해 AWS Key Management Service(AWS KMS)와 자동으로 통합됩니다. 암호화된 DAX 클러스터를 생성할 때 서비스 기본 키가 존재하지 않는 경우 AWS KMS는 새 AWS 관리형 키를 자동으로 생성합니다. 이 키는 향후 생성되는 암호화된 클러스터에 사용됩니다. AWS KMS는 클라우드에 맞게 조정된 키 관리 시스템을 제공하기 위해 안전하고 가용성이 높은 하드웨어 및 소프트웨어를 결합합니다.

데이터가 암호화된 후 DAX가 성능에 미치는 영향을 최소화한 상태에서 데이터의 복호화를 투명하게 처리합니다. 암호화를 사용하도록 애플리케이션을 수정하지 않아도 됩니다.

**참고**  
DAX는 모든 단일 DAX 작업에 대해 AWS KMS를 호출하지 않습니다. DAX는 클러스터 시작 시 키만 사용합니다. 액세스가 취소된 경우에도 DAX는 클러스터가 종료될 때까지 계속 데이터에 액세스할 수 있습니다. 고객이 지정한 AWS KMS 키는 지원되지 않습니다.

DAX 저장 데이터 암호화는 다음 클러스터 노드 유형에 사용할 수 있습니다.


| Family | 노드 유형 | 
| --- | --- | 
| 메모리 최적화(R4, R5, R7) |  dax.r4.large dax.r4.xlarge dax.r4.2xlarge dax.r4.4xlarge dax.r4.8xlarge dax.r4.16xlarge dax.r5.large dax.r5.xlarge dax.r5.2xlarge dax.r5.4xlarge dax.r5.8xlarge dax.r5.12xlarge dax.r5.16xlarge dax.r5.24xlarge dax.r7i.large dax.r7i.xlarge dax.r7i.2xlarge dax.r7i.4xlarge dax.r7i.8xlarge dax.r7i.12xlarge dax.r7i.16xlarge dax.r7i.24xlarge  | 
| 일반용(T2) |  dax.t2.small dax.t2.medium  | 
| 일반용(T3) |  dax.t3.small dax.t3.medium  | 

**중요**  
DAX 저장 데이터 암호화는 `dax.r3.*` 노드 유형에 대해 지원되지 않습니다.

클러스터가 생성된 후에는 유휴 시 암호화를 활성화하거나 비활성화할 수 없습니다. 생성 시 유휴 시 암호화가 활성화되지 않은 경우 클러스터를 다시 생성하여 유휴 시 암호화를 활성화해야 합니다.

DAX 저장 데이터 암호화는 추가 비용 없이 제공됩니다(AWS KMS 암호화 키 사용 요금이 적용됨). 요금에 대한 자세한 내용은 [Amazon DynamoDB 요금](https://aws.amazon.com/dynamodb/pricing)을 참조하세요.

## AWS Management Console을 사용하여 저장 데이터 암호화 활성화
<a name="dax.encryption.tutorial-console"></a>

다음 단계에 따라 콘솔을 사용하여 테이블에서 유휴 시 DAX 암호화를 활성화합니다.

**DAX 저장 데이터 암호화를 활성화하려면**

1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)에서 DynamoDB 콘솔을 엽니다.

1.  콘솔 왼쪽의 탐색 창의 **DAX**에서 **클러스터**를 선택합니다.

1.  **클러스터 생성**을 선택합니다.

1. **클러스터 이름**에 클러스터에 대한 간략한 이름을 입력합니다. 클러스터의 모든 노드에 대해 **노드 유형**을 선택하고 클러스터 크기에 **3** 노드를 사용합니다.

1. **Encryption(암호화)**에서 **암호화 활성**이 선택되어 있는지 확인합니다.  
![\[콘솔에서 암호화 활성 설정을 보여주는 클러스터 설정의 스크린샷\]](http://docs.aws.amazon.com/ko_kr/amazondynamodb/latest/developerguide/images/dax_encrypt.PNG)

1. IAM 역할, 서브넷 그룹, 보안 그룹 및 클러스터 설정을 선택한 후 **클러스터 시작**을 선택합니다.

클러스터가 암호화되었는지 확인하려면 **클러스터** 창에서 클러스터 세부 정보를 확인하세요. 암호화는 **활성화됨**이어야 합니다.