Amazon EBS 암호화의 요구 사항
시작하기 전에 다음 요구 사항을 충족하는지 확인하세요.
지원되는 볼륨 유형
암호화는 모든 EBS 볼륨 유형에서 지원됩니다. 암호화된 볼륨에서는 지연 시간에 대한 영향을 최소화한 채 암호화되지 않은 볼륨과 동일한 IOPS 성능을 기대할 수 있습니다. 암호화되지 않은 볼륨에 액세스하는 것과 동일한 방법으로 암호화된 볼륨에 액세스할 수 있습니다. 암호화 및 암호 해독은 중단 없이 처리되므로 사용자나 사용자의 애플리케이션에서 별도로 조치할 부분은 없습니다.
지원되는 인스턴스 유형
Amazon EBS 암호화는 모든 현재 세대 및 이전 세대 인스턴스 유형에서 사용할 수 있습니다.
사용자의 권한
EBS 암호화에 KMS 키를 사용하는 경우 KMS 키 정책은 필수 AWS KMS 작업에 대한 액세스 권한이 있는 사용자가 이 KMS 키를 사용하여 EBS 리소스를 암호화하거나 해독하도록 허용합니다. EBS 암호화를 사용하기 위해 다음 작업을 호출할 수 있는 권한을 사용자에게 부여해야 합니다.
-
kms:CreateGrant
-
kms:Decrypt
-
kms:DescribeKey
-
kms:GenerateDataKeyWithoutPlainText
-
kms:ReEncrypt
작은 정보
최소 권한의 원칙을 따르려면 kms:CreateGrant
에 대한 전체 액세스 권한을 허용하지 마세요. 대신에 kms:GrantIsForAWSResource
조건 키를 사용하여 AWS 서비스에서 사용자를 대신하여 권한이 부여되는 경우에만 사용자가 KMS 키에 대한 권한을 부여할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": [ "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef" ], "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
자세한 내용은 AWS Key Management Service 개발자 안내서의 기본 키 정책 섹션에서 AWS 계정에 대한 액세스 허용 및 IAM 정책 사용을 참조하세요.
인스턴스에 대한 권한
인스턴스가 암호화된 AMI, 볼륨 또는 스냅샷과 상호 작용을 시도할 경우 인스턴스의 자격 증명 전용 역할에 KMS 키 부여가 발급됩니다. 자격 증명 전용 역할은 인스턴스가 사용자를 대신하여 암호화된 AMI, 볼륨 또는 스냅샷과 상호 작용하기 위해 사용하는 IAM 역할입니다.
자격 증명 전용 역할은 수동으로 만들거나 삭제할 필요가 없으며 관련 정책도 없습니다. 또한 자격 증명 전용 역할 보안 인증에는 액세스할 수 없습니다.
참고
자격 증명 전용 역할은 인스턴스의 애플리케이션이 Amazon S3 객체 또는 Dynamo DB 테이블 등 다른 AWS KMS 암호화된 리소스에 액세스하는 데 사용되지 않습니다. 이러한 작업은 Amazon EC2 인스턴스 역할에 대한 보안 인증 또는 인스턴스에서 구성한 기타 AWS 보안 인증을 사용하여 수행됩니다.
자격 증명 전용 역할에는 서비스 제어 정책(SCP) 및 KMS 키 정책이 적용됩니다. SCP 또는 KMS 키가 KMS 키에 대한 자격 증명 전용 역할 액세스를 거부하는 경우 암호화된 볼륨이 있거나 암호화된 AMI 또는 스냅샷을 사용하여 EC2 인스턴스를 시작하지 못할 수 있습니다.
aws:SourceIp
, aws:VpcSourceIp
, aws:SourceVpc
, 또는 aws:SourceVpce
AWS 전역 조건 키를 사용하여 네트워크 위치를 기반으로 액세스를 거부하는 키 정책 또는 SCP를 생성하는 경우 이러한 정책 설명이 인스턴스 전용 역할에 적용되지 않도록 해야 합니다. 예제 정책은 데이터 경계 정책 예제
자격 증명 전용 역할 ARN은 다음 형식을 사용합니다.
arn:
aws-partition
:iam::account_id
:role/aws:ec2-infrastructure/instance_id
인스턴스에 키 부여가 발행되면 해당 인스턴스에 고유한 위임된 역할 세션에 키 부여가 발행됩니다. 피부여자 보안 주체 ARN은 다음 형식을 사용합니다.
arn:
aws-partition
:sts::account_id
:assumed-role/aws:ec2-infrastructure/instance_id