기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가상 머신 하이퍼바이저 보안 인증 정보 암호화

하이퍼바이저로 관리되는 가상 머신은 AWS Backup 게이트웨이를 사용하여 온프레미스 시스템을 AWS Backup에 연결합니다. 하이퍼바이저도 마찬가지로 강력하고 신뢰할 수 있는 보안을 유지하는 것이 중요합니다. 이 보안은 AWS 소유 키 또는 고객 관리형 키로 하이퍼바이저를 암호화하여 달성할 수 있습니다.

AWS 소유 및 고객 관리형 키

AWS Backup 는 AWS 소유 암호화 키를 사용하여 민감한 고객 로그인 정보를 보호하기 위해 하이퍼바이저 보안 인증에 대한 암호화를 제공합니다. 고객 관리형 키를 대신 사용할 수도 있습니다.

기본적으로 하이퍼바이저의 보안 인증 정보를 암호화하는 데 사용되는 키는 AWS 소유 키입니다. 는 이러한 키를 AWS Backup 사용하여 하이퍼바이저 보안 인증을 자동으로 암호화합니다. AWS 소유한 키를 보거나 관리하거나 사용할 수 없으며 사용을 감사할 수도 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 작업을 수행하거나 어떤 프로그램을 변경할 필요가 없습니다. 자세한 내용은 AWS KMS 개발자 안내서의 AWS 소유 키를 참조하세요.

또는 고객 관리형 키를 사용하여 보안 인증 정보를 암호화할 수도 있습니다. AWS Backup 은 사용자가 암호화를 수행하기 위해 생성, 소유, 관리하는 대칭 고객 관리형 키의 사용을 지원합니다. 이 암호화를 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.

고객 관리형 키를 사용하는 경우 는 역할이 이 키를 사용하여 복호화할 권한이 있는지(백업 또는 복원 작업이 실행되기 전에) AWS Backup 확인합니다. 백업 또는 복원 작업을 시작하는 데 사용되는 역할에 kms:Decrypt 작업을 추가해야 합니다.

기본 백업 역할에는 kms:Decrypt 작업을 추가할 수 없으므로 고객 관리형 키를 사용하려면 기본 백업 역할 이외의 역할을 사용해야 합니다.

자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키를 참조하세요.

고객 관리형 키 사용 시 필요한 권한 부여

AWS KMS 고객 관리형 키를 사용하려면 에 권한이 필요합니다. 고객 관리형 키로 암호화된 하이퍼바이저 구성을 가져올 때 는 에 CreateGrant 요청을 보내 사용자를 대신하여 권한을 AWS Backup 생성합니다 AWS KMS. 는 권한 부여를 AWS Backup 사용하여 고객 계정의 KMS 키에 액세스합니다.

권한 부여에 대한 액세스를 취소하거나 언제든지 고객 관리형 키에 대한 AWS Backup의 액세스를 제거할 수 있습니다. 이렇게 하면 하이퍼바이저와 연결된 모든 게이트웨이가 고객 관리형 키로 암호화된 하이퍼바이저의 사용자 이름 및 암호에 더 이상 액세스할 수 없게 되어 백업 및 복원 작업에 영향을 미칠 수 있습니다. 특히, 이 하이퍼바이저의 가상 머신에서 수행하는 백업 및 복원 작업은 실패합니다.

Backup 게이트웨이는 사용자가 하이퍼바이저를 삭제하면 RetireGrant 작업을 사용하여 권한 부여를 제거합니다.

암호화 키 모니터링

AWS Backup 리소스와 함께 AWS KMS 고객 관리형 키를 사용하는 경우 AWS CloudTrail 또는 Amazon CloudWatch Logs를 사용하여 에 를 AWS Backup 보내는 요청을 추적할 수 있습니다 AWS KMS.

고객 관리형 키로 암호화된 데이터에 액세스하기 위해 에서 호출한 AWS KMS 작업을 모니터링 AWS Backup 하려면 에 다음 "eventName" 필드가 있는 AWS CloudTrail 이벤트를 찾습니다.