기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 전송 중 데이터 암호화
전송 계층 보안(TLS)을 사용하여 애플리케이션과 Amazon DocumentDB 클러스터 간의 연결을 암호화할 수 있습니다. 기본적으로 전송 중인 암호화는 새로 생성된 Amazon DocumentDB 클러스터에 대해 활성화됩니다. 클러스터를 생성할 때 또는 나중에 선택적으로 비활성화할 수 있습니다. 전송 중 데이터 암호화가 활성화된 경우 클러스터에 연결하려면 TLS를 사용하는 보안 연결이 필요합니다. TLS를 사용하여 Amazon DocumentDB에 연결하는 방법에 대한 자세한 내용은 [Amazon DocumentDB에 프로그래밍 방식으로 연결](connect_programmatically.md)를 참조하세요.
## Amazon DocumentDB 클러스터 TLS 설정 관리
Amazon DocumentDB 클러스터에 대한 전송 중 데이터 암호화는 [클러스터 파라미터 그룹](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html)의 TLS 파라미터를 통해 관리됩니다. AWS Management Console 또는 AWS Command Line Interface (AWS CLI)를 사용하여 Amazon DocumentDB 클러스터 TLS 설정을 관리할 수 있습니다. 현재 TLS 설정을 확인하고 수정하는 방법은 다음 섹션을 참조하세요.
------
#### [ Using the AWS Management Console ]
다음 단계에 따라 매개 변수 그룹 식별, TLS 값 확인, 필요한 수정 등 콘솔을 사용하여 TLS 암호화에 대한 관리 작업을 수행합니다.
**참고**
클러스터를 생성할 때 다르게 지정하지 않으면 클러스터는 기본 클러스터 파라미터 그룹을 이용해 생성됩니다. `default` 클러스터 파라미터 그룹의 파라미터는 수정할 수 없습니다(예: `tls` 활성화/비활성화). 클러스터가 `default` 클러스터 파라미터 그룹을 사용하는 경우 해당 클러스터를 수정하여 기본이 아닌 클러스터 파라미터 그룹을 사용해야 합니다. 먼저 사용자 지정 클러스터 파라미터 그룹을 생성해야 할 수도 있습니다. 자세한 내용은 [Amazon DocumentDB 클러스터 파라미터 그룹 생성](cluster_parameter_groups-create.md) 섹션을 참조하세요.
1. **클러스터에서 사용 중인 클러스터 매개 변수 그룹을 확인합니다.**
1. [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb)에서 Amazon DocumentDB 콘솔을 엽니다.
1. 탐색 창에서 **클러스터**를 선택합니다.
**작은 정보**
화면 왼쪽에 탐색 창이 표시되지 않으면 페이지 왼쪽 상단 모서리에서 메뉴 아이콘(![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/ko_kr/documentdb/latest/developerguide/images/docdb-menu-icon.png))을 선택합니다.
1. 참고로 **클러스터** 탐색 상자의 **클러스터 식별자** 열에는 클러스터와 인스턴스가 모두 표시됩니다. 인스턴스는 클러스터 아래에 나열됩니다. 참조는 아래 스크린샷을 참조하세요.
![\[기존 클러스터 링크 및 해당 인스턴스 링크의 목록을 보여주는 클러스터 탐색 상자의 이미지입니다.\]](http://docs.aws.amazon.com/ko_kr/documentdb/latest/developerguide/images/clusters.png)
1. 통합할 클러스터를 선택합니다.
1. **설정** 탭을 선택하여 **클러스터 디테일** 아래를 스크롤 다운하여 **클러스터 파라미터 그룹**을 위치시키세요. 클러스터 파라미터 그룹의 이름을 적어 둡니다.
클러스터의 파라미터 그룹 이름이 `default`(예: `default.docdb3.6`)인 경우 사용자 지정 클러스터 파라미터 그룹을 생성해야 하며 계속하기 전에 이를 클러스터의 파라미터 그룹으로 지정해야 합니다. 자세한 내용은 다음을 참조하세요:
1. [Amazon DocumentDB 클러스터 파라미터 그룹 생성](cluster_parameter_groups-create.md) — 사용할 수 있는 사용자 지정 클러스터 매개 변수 그룹이 없는 경우 생성합니다.
1. [Amazon DocumentDB 클러스터 수정](db-cluster-modify.md) — 사용자 지정 클러스터 매개 변수 그룹을 사용하도록 클러스터를 수정합니다.
1. ** `tls` 클러스터 파라미터**의 현재 값을 확인합니다.
1. [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb)에서 Amazon DocumentDB 콘솔로 이동합니다.
1. 탐색 창에서 **파라미터 그룹**을 선택합니다.
1. 클러스터 파라미터 그룹 목록에서 원하는 클러스터 파라미터 그룹의 이름을 선택합니다.
1. **클러스터 파라미터** 섹션을 찾습니다. 클러스터 파라미터 목록에서 `tls` 클러스터 파라미터 행을 찾습니다. 이때 다음 네 개의 열이 중요합니다:
+ **클러스터 파라미터 이름** — 클러스터 매개 변수의 이름입니다. TLS를 관리하는 경우 `tls` 클러스터 파라미터를 살펴보게 됩니다.
+ **값** — 각 클러스터 매개 변수의 현재 값입니다.
+ **허용된 값** — 클러스터 매개 변수에 적용할 수 있는 값 목록입니다.
+ **응용 유형** — **정적** 또는 **동적** 타입. 정적 클러스터 파라미터에 대한 변경 사항은 인스턴스를 재부팅할 때에만 적용할 수 있습니다. 동적 클러스터 파라미터에 대한 변경 사항은 즉시 또는 인스턴스를 재부팅할 때 적용할 수 있습니다.
1. **`tls` 클러스터 파라미터의 값을 수정합니다.**
`tls`의 값이 잘못된 경우 이 클러스터 파라미터 그룹에 대한 값을 수정합니다. `tls` 클러스터 파라미터의 값을 변경하려면, 다음 단계에 따라 이전 섹션으로부터 계속합니다.
1. 클러스터 파라미터 이름의 왼쪽에 있는 버튼(`tls`)을 선택합니다.
1. **편집**을 선택합니다.
1. `tls`의 값을 변경하려면 **`tls` 수정** 대화 상자의 드롭다운 목록에서 클러스터 파라미터로 사용할 값을 선택합니다.
유효한 값은 다음과 같습니다:
+ **비활성화** — TLS 비활성화
+ **활성화** - TLS 버전 1.0\$11.3을 활성화합니다.
+ **fips-140-3** — FIPS를 사용하여 TLS를 활성화합니다. 클러스터는 연방 정보 처리 표준(FIPS) 간행물 140-3의 요구 사항에 따라 보안 연결만 허용합니다. 이는 다음 지역의 Amazon DocumentDB 5.0(엔진 버전 3.0.3727) 클러스터에서만 지원됩니다: ca-central-1, us-west-2, us-east-1, us-east-2, us-gov-east-1, us-gov-west-1.
+ **tls1.2\$1** - TLS 버전 1.2 이상을 활성화합니다. Amazon DocumentDB 4.0(엔진 버전 2.0.10980) 및 Amazon DocumentDB(엔진 버전 3.0.11051)부터만 지원됩니다.
+ **tls1.3\$1** - TLS 버전 1.3 이상을 활성화합니다. Amazon DocumentDB 4.0(엔진 버전 2.0.10980) 및 Amazon DocumentDB(엔진 버전 3.0.11051)부터만 지원됩니다.
![\[클러스터별 TLS 수정 대화 상자의 이미지입니다.\]](http://docs.aws.amazon.com/ko_kr/documentdb/latest/developerguide/images/modify-tls.png)
1. **클러스터 파라미터 수정**을 선택합니다. 재부팅할 때 변경 사항이 각 클러스터 인스턴스에 적용됩니다.
1. **Amazon DocumentDB 인스턴스를 재부팅합니다.**
클러스터의 각 인스턴스를 재부팅하여 변경 사항이 클러스터의 모든 인스턴스에 적용되도록 합니다.
1. [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb)에서 Amazon DocumentDB 콘솔로 이동합니다.
1. 탐색 창에서 **인스턴스**를 선택합니다.
1. 재부팅할 인스턴스를 지정하려면 인스턴스 목록에서 인스턴스를 찾은 다음 이름 왼쪽에 있는 버튼을 선택합니다.
1. **작업**을 선택한 후 **재부팅**을 선택합니다. **재부팅**을 선택하여 재부팅할지를 확인합니다.
------
#### [ Using the AWS CLI ]
파라미터 그룹 식별, TLS 값 확인, 필요한 수정 등 AWS CLI을 사용하여 TLS 암호화에 대한 관리 작업을 수행하려면 다음 단계를 수행합니다.
**참고**
클러스터를 생성할 때 다르게 지정하지 않으면 클러스터는 기본 클러스터 파라미터 그룹을 이용해 생성됩니다. `default` 클러스터 파라미터 그룹의 파라미터는 수정할 수 없습니다(예: `tls` 활성화/비활성화). 클러스터가 `default` 클러스터 파라미터 그룹을 사용하는 경우 해당 클러스터를 수정하여 기본이 아닌 클러스터 파라미터 그룹을 사용해야 합니다. 먼저 사용자 지정 클러스터 파라미터 그룹을 생성해야 할 수도 있습니다. 자세한 내용은 [Amazon DocumentDB 클러스터 파라미터 그룹 생성](cluster_parameter_groups-create.md) 섹션을 참조하세요.
1. **클러스터에서 사용 중인 클러스터 파라미터 그룹 확인.**
다음 옵션으로 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html) 명령을 실행합니다.
+ `--db-cluster-identifier`
+ `--query`
다음 예제에서는 각각의 *사용자 입력 자리 표시자*를 자신의 클러스터 정보로 바꿉니다.
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
이 작업의 출력은 다음과 같습니다(JSON 형식).
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
클러스터의 파라미터 그룹 이름이 `default`(예: `default.docdb3.6`)인 경우 사용자 지정 클러스터 파라미터 그룹이 있어야 하며 계속하기 전에 이를 클러스터의 파라미터 그룹으로 지정해야 합니다. 자세한 정보는 다음 주제를 참조하세요:
1. [Amazon DocumentDB 클러스터 파라미터 그룹 생성](cluster_parameter_groups-create.md) — 사용할 수 있는 사용자 지정 클러스터 파라미터 그룹이 없다면 만들어야 합니다.
1. [Amazon DocumentDB 클러스터 수정](db-cluster-modify.md) — 사용자 지정 클러스터 매개 변수 그룹을 사용하도록 클러스터를 수정합니다.
1. ** `tls` 클러스터 파라미터**의 현재 값을 확인합니다.
이 클러스터 파라미터 그룹에 대한 자세한 내용은 다음 옵션과 함께 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html) 명령을 사용합니다:
+ `--db-cluster-parameter-group-name`
+ `--query`
출력을 `ParameterName`, `ParameterValue`, `AllowedValues` 및 `ApplyType` 관심 필드로만 제한합니다.
다음 예제에서는 각각의 *사용자 입력 자리 표시자*를 자신의 클러스터 정보로 바꿉니다.
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
이 작업의 출력은 다음과 같습니다(JSON 형식).
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **`tls` 클러스터 파라미터의 값을 수정합니다.**
`tls`의 값이 잘못된 경우 이 클러스터 파라미터 그룹에 대한 값을 수정합니다. `tls` 클러스터 파라미터의 값을 변경하려면 다음 옵션과 함께 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html) 명령을 사용합니다.
+ `--db-cluster-parameter-group-name` — 선택 사항. 수정할 클러스터 파라미터 그룹의 이름입니다. `default.*` 클러스터 파라미터 그룹은 지정할 수 없습니다.
+ `--parameters` - 필수입니다. 클러스터 파라미터 그룹에서 수정할 파라미터의 목록입니다.
+ `ParameterName` - 필수입니다. 수정할 클러스터 파라미터의 이름입니다.
+ `ParameterValue` - 필수입니다. 이 클러스터 파라미터의 새 값입니다. 클러스터 파라미터의 `AllowedValues` 중 하나이어야 합니다.
+ `enabled` - 클러스터는 TLS 버전 1.0\$11.3을 사용한 보안 연결을 허용합니다.
+ `disabled` — 클러스터는 TLS를 사용한 보안 연결을 허용하지 않습니다.
+ `fips-140-3` — 클러스터는 연방 정보 처리 표준(FIPS) 간행물 140-3의 요구 사항에 따라 보안 연결만 허용합니다. 이는 다음 지역의 Amazon DocumentDB 5.0(엔진 버전 3.0.3727) 클러스터(ca-central-1, us-west-2, us-east-1, us-east-2, us-gov-east-1, us-gov-west-1)에서만 지원됩니다.
+ `tls1.2+` - 클러스터는 TLS 버전 1.2 이상을 사용한 보안 연결을 허용합니다. Amazon DocumentDB 4.0(엔진 버전 2.0.10980) 및 Amazon DocumentDB 5.0(엔진 버전 3.0.11051)부터만 지원됩니다.
+ `tls1.3+` - 클러스터는 TLS 버전 1.3 이상을 사용한 보안 연결을 허용합니다. Amazon DocumentDB 4.0(엔진 버전 2.0.10980) 및 Amazon DocumentDB 5.0(엔진 버전 3.0.11051)부터만 지원됩니다.
+ `ApplyMethod` — 이 수정이 적용되지 않는 경우. `tle` 같은 정적 클러스터 파라미터의 경우 이 값이 `pending-reboot`이어야 합니다.
+ `pending-reboot` — 인스턴스가 재부팅된 후에만 변경 사항이 인스턴스에 적용됩니다. 이 변경 사항이 클러스터의 모든 인스턴스에 적용되려면 각 클러스터 인스턴스를 개별적으로 재부팅해야 합니다.
다음 예제에서는 각각의 *사용자 입력 자리 표시자*를 자신의 클러스터 정보로 바꿉니다.
다음 코드는 ** `tls`를 비활성화하고, DB 인스턴스가 재부팅될 때 각 인스턴스에 변경사항을 적용합니다.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
다음 코드는 `tls`(버전 1.0\$11.3)를 *활성화*하여, 각 인스턴스가 재부팅될 때 변경사항을 적용합니다.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
다음 코드는 `fips-140-3`이 있는 TLS를 *활성화*하여, 각 인스턴스가 재부팅될 때 변경 사항을 적용합니다.
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
이 작업의 출력은 다음과 같습니다(JSON 형식).
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **Amazon DocumentDB 인스턴스를 재부팅합니다.**
클러스터의 각 인스턴스를 재부팅하여 변경 사항이 클러스터의 모든 인스턴스에 적용되도록 합니다. Amazon DocumentDB 인스턴스를 재부팅하려면 다음 옵션을 실행하여 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html) 명령을 수행합니다:
+ `--db-instance-identifier`
다음 코드는 `mydocdbinstance` 인스턴스를 재부팅합니다.
다음 예제에서는 각각의 *사용자 입력 자리 표시자*를 자신의 클러스터 정보로 바꿉니다.
**Example**
Linux, macOS, Unix의 경우:
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Windows의 경우:
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
이 작업의 출력은 다음과 같습니다(JSON 형식).
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
인스턴스가 재부팅되는 데 몇 분 정도 걸릴 수 있습니다. *사용 가능* 상태인 경우에만 인스턴스를 사용할 수 있습니다. 콘솔 또는 AWS CLI를 사용하여 인스턴스의 상태를 모니터링할 수 있습니다. 자세한 내용은 [Amazon DocumentDB 인스턴스 상태 모니터링](monitoring_docdb-instance_status.md) 섹션을 참조하세요.
------