권장 사항 내보내기에 암호화된 S3 버킷 사용 - AWS Compute Optimizer
사전 조건절차다음 단계추가 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

권장 사항 내보내기에 암호화된 S3 버킷 사용

Compute Optimizer 권장 사항 내보내기의 대상으로 Amazon S3 고객 관리형 키 또는 AWS Key Management Service(KMS) 키로 암호화된 S3 버킷을 지정할 수 있습니다.

사전 조건

AWS KMS 암호화가 활성화된 S3 버킷을 사용하려면 대칭 KMS 키를 생성해야 합니다. 대칭 KMS 키는 Amazon S3가 지원하는 유일한 KMS 키입니다. 지침은 AWS KMS 개발자 안내서의 키 생성을 참조하세요.

KMS 키를 생성한 후 권장 사항 내보내기에 사용할 S3 버킷에 적용합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 기본 버킷 암호화 활성화를 참조하세요.

절차

Compute Optimizer에 KMS 키를 사용하는 데 필요한 권한을 부여하려면 다음 절차를 사용합니다. 이 권한은 권장 사항 내보내기 파일을 암호화된 S3 버킷에 저장할 때 파일을 암호화하는 용도로만 사용됩니다.

  1. AWS KMS 콘솔(https://console.aws.amazon.com/kms)을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 왼쪽 탐색 메뉴에서 고객 관리형 키를 선택합니다.

    참고

    AWS 관리형 키로 암호화된 S3 버킷에 대해서는 Compute Optimizer 권장 사항 내보내기가 허용되지 않습니다.

  4. 내보내기 S3 버킷을 암호화하는 데 사용한 KMS 키의 이름을 선택합니다.

  5. 키 정책 탭에서 정책 보기로 전환을 선택합니다.

  6. 편집을 선택하여 키 정책을 편집합니다.

  7. 다음 정책 중 하나를 복사하여 키 정책의 명령문 섹션에 붙여넣습니다.

  8. 정책에서 다음 자리 표시자 텍스트를 바꿉니다.

    • myRegion을 소스 AWS 리전으로 바꿉니다.

    • myAccountID를 내보내기 요청자의 계정 번호로 바꿉니다.

    GenerateDataKey 명령문을 통해 Compute Optimizer가 AWS KMS API를 호출하여 권장 사항 파일을 암호화하는 데 필요한 데이터 키를 얻을 수 있습니다. 이렇게 하면 업로드된 데이터 형식이 버킷 암호화 설정을 수용할 수 있습니다. 그렇지 않으면 Amazon S3가 내보내기 요청을 거부합니다.

    참고

    기존 KMS 키에 하나 이상의 정책이 이미 연결되어 있는 경우 Compute Optimizer 액세스용 명령문을 해당 정책에 추가합니다. 발생한 권한 세트를 평가해 KMS 키에 액세스하는 사용자에게 적절한지 확인합니다.

Amazon S3 버킷 키를 활성화하지 않은 경우 다음 정책을 사용합니다.

{
                "Sid": "Allow use of the key to Compute Optimizer",
                "Effect": "Allow",
                "Principal": {
                    "Service": "compute-optimizer.amazonaws.com"
                },
                "Action": "kms:GenerateDataKey",
                "Resource": "*",
                "Condition": {"StringEquals": {
                        "aws:SourceAccount": "myAccountID"
                    },
                    "StringLike": {
                         "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                     }
                 }
            }

Amazon S3 버킷 키를 활성화한 경우 다음 정책을 사용합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 버킷 키를 사용하여 SSE-KMS 비용 절감을 참조하세요.

{
                "Sid": "Allow use of the key to Compute Optimizer",
                "Effect": "Allow",
                "Principal": {
                    "Service": "compute-optimizer.amazonaws.com"
                },
                "Action": [
                    "kms:GenerateDataKey",
                    "kms:Decrypt"
                ],
                "Resource": "*",
                "Condition": {"StringEquals": {
                        "aws:SourceAccount": "myAccountID"
                    },
                    "StringLike": {
                         "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                     }
                }
            }

다음 단계

AWS Compute Optimizer 권장 사항 내보내기 방법에 대한 지침은 권장 사항 내보내기 섹션을 참조하세요.

추가 리소스