기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 의 데이터 보호 AWS Backup
<a name="data-protection"></a>

AWS Backup 는 데이터 보호에 대한 규정 및 지침을 포함하는 AWS [공동 책임 모델을](https://aws.amazon.com/compliance/shared-responsibility-model/) 준수합니다. AWS 는 모든 AWS 서비스를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. AWS 는 고객 콘텐츠 및 개인 데이터를 처리하기 위한 보안 구성 제어를 포함하여이 인프라에서 호스팅되는 데이터에 대한 제어를 유지합니다. 데이터 컨트롤러 또는 데이터 프로세서 역할을 하는 AWS 고객 및 AWS 파트너 네트워크(APN) 파트너는에 입력하는 모든 개인 데이터에 대해 책임을 집니다 AWS 클라우드.

데이터 보호를 위해 자격 AWS 계정 증명을 보호하고 AWS Identity and Access Management (IAM)을 사용하여 개별 사용자 계정을 설정하는 것이 좋습니다. 이는 각 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여된다는 것을 의미합니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ 보안 소켓 계층(SSL)/전송 계층 보안(TLS)를 사용하여 AWS 리소스와 통신합니다.
+  AWS 암호화 솔루션을 서비스 내의 AWS 모든 기본 보안 제어와 함께 사용합니다.

**이름** 필드와 같은 자유 형식 필드에 고객 계정 번호와 같은 중요 식별 정보를 절대 입력하지 마세요. 여기에는 콘솔 AWS CLI, API 또는 AWS SDKs를 사용하여 AWS Backup 또는 기타 AWS 서비스를 사용하는 경우가 포함됩니다. AWS Backup 또는 기타 서비스에 입력하는 모든 데이터는 진단 로그에 포함하기 위해 선택될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를 URL에 포함시키지 마세요.

데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.

# 의 백업에 대한 암호화 AWS Backup
<a name="encryption"></a>

## 독립 암호화
<a name="independent-encryption"></a>

AWS Backup 는 [전체 AWS Backup 관리를 지원하는 리소스 유형에](backup-feature-availability.md#features-by-resource) 대해 독립적인 암호화를 제공합니다. 독립 암호화는를 통해 생성하는 복구 시점(백업)이 소스 리소스의 암호화에 따라 결정되는 암호화 방법 이외의 암호화 방법을 가질 AWS Backup 수 있음을 의미합니다. 예를 들어 Amazon S3 버킷의 백업은 Amazon S3 암호화로 암호화한 소스 버킷과 다른 암호화 방법을 가질 수 있습니다. 이 암호화는에 백업이 저장된 백업 볼트의 AWS KMS 키 구성을 통해 제어됩니다.

에서 완전히 관리되지 않는 리소스 유형의 백업은 AWS Backup 일반적으로 소스 리소스에서 암호화 설정을 상속합니다. *Amazon EBS 사용 설명서*의 [Amazon EBS 암호화](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)와 같은 해당 서비스의 지침에 따라 이러한 암호화 설정을 구성할 수 있습니다.

IAM 역할은 객체를 백업 및 복원하는 데 사용되는 KMS 키에 액세스할 수 있어야 합니다. 그렇게 하지 않으면 작업은 성공하지만 객체는 백업되거나 복원되지 않습니다. IAM 정책 및 KMS 키 정책의 권한은 일관되어야 합니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [IAM 정책 설명에서 KMS 키 지정](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)을 참조하세요.

다음 표에는 지원되는 각 리소스 유형, 백업에 대해 암호화가 구성되는 방법 및 백업에 대해 독립 암호화가 지원되는지 여부가 나와 있습니다. AWS Backup 은 독립적으로 백업을 암호화하는 경우 업계 표준 AES-256 암호화 알고리즘을 사용합니다. 의 암호화에 대한 자세한 내용은 [교차 리전](cross-region-backup.md) 및 [교차 계정 백업을](create-cross-account-backup.md) AWS Backup참조하세요.


| 리소스 유형 | 암호화 구성 방법 | 독립 AWS Backup 암호화 | 
| --- | --- | --- | 
| Amazon Simple Storage Service(Amazon S3) | Amazon S3 백업은 백업 볼트와 연결된 AWS KMS (AWS Key Management Service) 키를 사용하여 암호화됩니다. AWS KMS 키는 고객 관리형 키 또는 AWS Backup 서비스와 연결된 AWS관리형 키일 수 있습니다.는 소스 Amazon S3 버킷이 AWS Backup 암호화되지 않은 경우에도 모든 백업을 암호화합니다. | 지원됨 | 
| VMware 가상 머신 | VM 백업은 항상 암호화됩니다. 가상 머신 백업의 AWS KMS 암호화 키는 가상 머신 백업이 저장되는 AWS Backup 볼트에 구성됩니다. | 지원됨 | 
| [고급 DynamoDB 백업](advanced-ddb-backup.md)을 활성화한 후의 Amazon DynamoDB |  DynamoDB 백업은 항상 암호화됩니다. DynamoDB 백업의 AWS KMS 암호화 키는 DynamoDB 백업이 저장되는 AWS Backup 볼트에 구성됩니다.  | 지원됨 | 
| [고급 DynamoDB 백업](advanced-ddb-backup.md)을 활성화하지 않은 Amazon DynamoDB |  DynamoDB 백업은 소스 DynamoDB 테이블을 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 DynamoDB 테이블은 스냅샷도 암호화되지 않습니다.  AWS Backup 가 암호화된 DynamoDB 테이블의 백업을 생성하려면 백업에 사용되는 `kms:GenerateDataKey` IAM 역할에 `kms:Decrypt` 및 권한을 추가해야 합니다. 또는 AWS Backup 기본 서비스 역할을 사용할 수 있습니다.  | 지원되지 않음 | 
| Amazon Elastic File System(Amazon EFS) | Amazon EFS 백업은 항상 암호화됩니다. Amazon EFS 백업의 AWS KMS 암호화 키는 Amazon EFS 백업이 저장되는 AWS Backup 볼트에 구성됩니다. | 지원됨 | 
| Amazon Elastic Block Store(Amazon EBS) | 기본적으로 Amazon EBS 백업은 소스 볼륨을 암호화하는 데 사용된 키를 사용하여 암호화되거나 암호화되지 않습니다. 복원 중에 KMS 키를 지정하여 기본 암호화 방법을 재정의하도록 선택할 수 있습니다. | 지원되지 않음 | 
| Amazon Elastic Compute Cloud(Amazon EC2) AMI | AMI는 암호화되지 않습니다. EBS 스냅샷은 EBS 백업에 대한 기본 암호화 규칙에 의해 암호화됩니다(EBS 항목 참조). 데이터 볼륨과 루트 볼륨의 EBS 스냅샷을 암호화하고 AMI에 연결할 수 있습니다. | 지원되지 않음 | 
| Amazon Relational Database Service(Amazon RDS) | Amazon RDS 스냅샷은 소스 Amazon RDS 데이터베이스를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon RDS 데이터베이스는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| Amazon Aurora | Aurora 클러스터 스냅샷은 소스 Amazon Aurora 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Aurora 클러스터는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| AWS Storage Gateway | Storage Gateway 스냅샷은 소스 Storage Gateway 볼륨을 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Storage Gateway 볼륨은 스냅샷도 암호화되지 않습니다.Storage Gateway를 활성화하기 위해 모든 서비스에서 고객 관리형 키를 사용할 필요는 없습니다. KMS 키를 구성한 저장소에 Storage Gateway 백업을 복사하기만 하면 됩니다. Storage Gateway에 서비스별 AWS KMS 관리형 키가 없기 때문입니다.  | 지원되지 않음 | 
| Amazon FSx | Amazon FSx 파일 시스템의 암호화 기능은 기본 파일 시스템에 따라 다릅니다. 특정 Amazon FSx 파일 시스템에 대해 자세히 알아보려면 해당 [FSx 사용 설명서](https://docs.aws.amazon.com/fsx/)를 참조하세요. | 지원되지 않음 | 
| Amazon DocumentDB | Amazon DocumentDB 클러스터 스냅샷은 소스 Amazon DocumentDB 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon DocumentDB 클러스터는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| Amazon Neptune | Neptune 클러스터 스냅샷은 소스 Neptune 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Neptune 클러스터는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| Amazon Timestream | Timestream 테이블 스냅샷 백업은 항상 암호화됩니다. Timestream 백업의 AWS KMS 암호화 키는 Timestream 백업이 저장되는 백업 볼트에 구성됩니다. | 지원됨 | 
| Amazon Redshift | Amazon Redshift 클러스터는 소스 Amazon Redshift 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon Redshift 클러스터는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| Amazon Redshift Serverless | Redshift Serverless 스냅샷은 소스를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. | 지원되지 않음 | 
| CloudFormation | CloudFormation 백업은 항상 암호화됩니다. CloudFormation 백업에 대한 CloudFormation 암호화 키는 CloudFormation 백업이 저장되는 CloudFormation 저장소에 구성됩니다. | 지원됨 | 
| Amazon EC2 인스턴스의 SAP HANA 데이터베이스 | SAP HANA 데이터베이스 백업은 항상 암호화됩니다. SAP HANA 데이터베이스 백업의 AWS KMS 암호화 키는 데이터베이스 백업이 저장되는 AWS Backup 볼트에 구성됩니다. | 지원됨 | 

**작은 정보**  
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html)를 사용하면 암호화되지 않은 백업을 자동으로 감지할 수 있습니다.

## 다른 계정 또는에 백업 복사본 암호화 AWS 리전
<a name="copy-encryption"></a>

계정 또는 리전 간에 백업을 복사하면는 원본 백업이 암호화되지 않은 경우에도 대부분의 리소스 유형에 대해 이러한 복사본을 AWS Backup 자동으로 암호화합니다. AWS Backup 는 대상 볼트의 KMS 키를 사용하여 복사본을 암호화합니다.

한 계정에서 다른 계정으로 백업을 복사(교차 계정 복사 작업)하거나 한 리전에서 다른 리전으로 백업을 복사(교차 리전 복사 작업)하기 전에 백업의 리소스 유형(복구 시점)이에서 [완전히 관리되는지 AWS Backup 여부에](backup-feature-availability.md#features-by-resource) 따라 달라지는 다음 조건을 참고하세요.
+ 백업 복사본은 대상 볼트의 키를 사용하여 암호화 AWS 리전 됩니다.
+ 에서 **완전히 관리하는 AWS Backup** 리소스의 복구 시점(백업) 복사본의 경우 [고객 관리형 키(CMK) 또는 관리형 키()](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)로 암호화하도록 선택할 수 있습니다`aws/backup`. AWS Backup 

  에서 **완전히 관리하지** 않는 리소스의 복구 시점 사본의 경우 대상 볼트에 연결된 AWS Backup키는 CMK 또는 기본 리소스를 소유한 서비스의 관리형 키여야 합니다. 예를 들어 EC2 인스턴스를 복사하는 경우 백업 관리형 키를 사용할 수 없습니다. 대신 복사 작업 실패를 방지하려면 CMK 또는 Amazon EBS KMS 키(`aws/ebs`)를 사용해야 합니다.
+ 에서 완전히 관리하지 않는 리소스에는 AWS 관리형 키가 있는 교차 계정 복사가 지원되지 않습니다 AWS Backup. AWS 관리형 키의 [키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)은 변경할 수 없으므로 계정 간에 키를 복사할 수 없습니다. 리소스가 AWS 관리형 키로 암호화되고 교차 계정 복사를 수행하려는 경우 [암호화 키를 교차 계정 복사에 사용할 수 있는 고객 관리형 키로 변경할](https://repost.aws/knowledge-center/update-encryption-key-rds) 수 있습니다. 또는 [ 교차 계정 및 교차 리전 백업으로 암호화된 Amazon RDS 인스턴스 보호](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/)의 지침에 따라 AWS 관리형 키를 계속 사용할 수 있습니다.
+ 암호화되지 않은 Amazon Aurora, Amazon DocumentDB, Amazon Neptune 클러스터의 복사본도 암호화되지 않습니다.

## AWS Backup 권한, 권한 부여 및 거부 문
<a name="backup-permissions-grants-deny-statements"></a>

실패한 작업을 방지하기 위해 AWS KMS 키 정책을 검사하여 필요한 권한이 있고 성공적인 작업을 방해하는 거부 문이 없는지 확인할 수 있습니다.

실패한 작업은 KMS 키에 하나 이상의 거부 문이 적용되었거나 키에 대한 [권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)가 취소되었기 때문에 발생할 수 있습니다.

와 같은 AWS 관리형 액세스 정책에는 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)가와 인터페이스하여 고객을 대신하여 KMS 키에 대한 권한 부여를 생성 AWS KMS 하도록 허용하는 AWS Backup 허용 작업이 있습니다.

최소한 키 정책에는 다음과 같은 권한이 필요합니다.
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`

거부 정책이 필요한 경우 백업 및 복원 작업에 필요한 역할을 허용 목록에 추가해야 합니다.

이러한 요소는 다음과 같을 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}
```

------

이러한 권한은 AWS 관리형이든 고객 관리형이든 키의 일부여야 합니다.

1. 필요한 권한이 KMS 키 정책의 일부인지 확인

   1. KMS CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html))를 실행하여 지정된 KMS 키에 연결된 키 정책을 봅니다.

   1. 반환된 권한을 검토합니다.

1. 작업에 영향을 미치는 거부 문이 없는지 확인합니다.

   1. CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html))를 실행(또는 다시 실행)하여 지정된 KMS 키에 연결된 키 정책을 봅니다.

   1. 정책을 검토합니다.

   1. KMS 키 정책에서 관련 거부 문을 제거합니다.

1. 필요한 경우 [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)를 실행하여 키 정책을 수정된 권한으로 바꾸거나 업데이트하고 거부 문을 제거합니다.

또한 교차 리전 복사 작업을 시작하는 역할과 연결된 키는 `DescribeKey` 권한에 `"kms:ResourcesAliases": "alias/aws/backup"`가 있어야 합니다.

# 가상 머신 하이퍼바이저 보안 인증 정보 암호화
<a name="bgw-hypervisor-encryption-page"></a>

[하이퍼바이저로 관리되는](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) 가상 머신은 [AWS Backup 게이트웨이](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html)를 사용하여 온프레미스 시스템을 AWS Backup에 연결합니다. 하이퍼바이저도 마찬가지로 강력하고 신뢰할 수 있는 보안을 유지하는 것이 중요합니다. 이 보안은 AWS 소유 키 또는 고객 관리형 키로 하이퍼바이저를 암호화하여 달성할 수 있습니다.

## AWS 소유 및 고객 관리형 키
<a name="bgw-encryption-keys"></a>

AWS Backup 는 소유 암호화 키를 사용하여 **AWS 민감한 고객 로그인 정보를 보호하기 위해 하이퍼바이저 자격 증명에 대한 암호화**를 제공합니다. **고객 관리형 키**를 대신 사용할 수도 있습니다.

기본적으로 하이퍼바이저에서 자격 증명을 암호화하는 데 사용되는 키는 **AWS 소유 키**입니다.는 이러한 키를 AWS Backup 사용하여 하이퍼바이저 자격 증명을 자동으로 암호화합니다. AWS 소유 키를 보거나 관리하거나 사용할 수 없으며 사용을 감사할 수도 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 작업을 수행하거나 어떤 프로그램을 변경할 필요가 없습니다. 자세한 내용은 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)의 AWS 소유 키를 참조하세요.

또는 **고객 관리형 키를 사용하여 보안 인증 정보를 암호화할 수도 있습니다. AWS Backup 은 사용자가 암호화를 수행하기 위해 생성, 소유, 관리하는 대칭 고객 관리형 키의 사용을 지원합니다. 이 암호화를 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 유지
+ IAM 정책 및 권한 부여 수립 및 유지
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+  태그 추가
+ 키 별칭 만들기
+ 삭제를 위한 스케줄 키

고객 관리형 키를 사용하는 경우는 역할이 (백업 또는 복원 작업이 실행되기 전에)이 키를 사용하여 복호화할 수 있는 권한이 있는지 AWS Backup 확인합니다. 백업 또는 복원 작업을 시작하는 데 사용되는 역할에 `kms:Decrypt` 작업을 추가해야 합니다.

기본 백업 역할에는 `kms:Decrypt` 작업을 추가할 수 없으므로 고객 관리형 키를 사용하려면 기본 백업 역할 이외의 역할을 사용해야 합니다.

자세한 내용은 *AWS Key Management Service *개발자 안내서의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하세요.

## 고객 관리형 키 사용 시 필요한 권한 부여
<a name="encryption-grant"></a>

AWS KMS 고객 관리형 키를 사용하려면에 [ 권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)가 필요합니다. 고객 관리형 키로 암호화된 [ 하이퍼바이저 구성을](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) 가져올 때는에 [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을 보내 사용자를 대신하여 권한 부여를 AWS Backup 생성합니다 AWS KMS.는 고객 계정의 KMS 키에 액세스하기 위한 권한 부여를 AWS Backup 사용합니다.

언제든지 권한 부여에 대한 액세스를 취소하거나 고객 관리형 키에 대한 AWS Backup액세스를 제거할 수 있습니다. 이렇게 하면 하이퍼바이저와 연결된 모든 게이트웨이가 고객 관리형 키로 암호화된 하이퍼바이저의 사용자 이름 및 암호에 더 이상 액세스할 수 없게 되어 백업 및 복원 작업에 영향을 미칠 수 있습니다. 특히, 이 하이퍼바이저의 가상 머신에서 수행하는 백업 및 복원 작업은 실패합니다.

Backup 게이트웨이는 사용자가 하이퍼바이저를 삭제하면 `RetireGrant` 작업을 사용하여 권한 부여를 제거합니다.

## 암호화 키 모니터링
<a name="monitoring-encryption-keys"></a>

 AWS Backup 리소스와 함께 AWS KMS 고객 관리형 키를 사용하는 경우 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 또는 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)를 사용하여가 로 AWS Backup 보내는 요청을 추적할 수 있습니다 AWS KMS.

고객 관리형 키로 암호화된 데이터에 액세스하기 위해에서 호출한 AWS KMS 작업을 모니터링 AWS Backup 하려면에 다음 `"eventName"` 필드가 있는 AWS CloudTrail 이벤트를 찾습니다.
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`