기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EBS 암호화 요구 사항

시작하기 전에 다음 요구 사항을 충족하는지 확인하세요.

지원되는 볼륨 유형

암호화는 모든 EBS 볼륨 유형에서 지원됩니다. 암호화되지 않은 볼륨에서와 동일한 IOPS 성능을 기대할 수 있으며 지연 시간에 미치는 영향은 최소화됩니다. 암호화되지 않은 볼륨에 액세스하는 것과 동일한 방법으로 암호화된 볼륨에 액세스할 수 있습니다. 암호화 및 암호 해독은 중단 없이 처리되므로 사용자나 사용자의 애플리케이션에서 별도로 조치할 부분은 없습니다.

지원되는 인스턴스 유형

Amazon EBS 암호화는 모든 현재 세대 및 이전 세대 인스턴스 유형에서 사용할 수 있습니다.

사용자의 권한

EBS 암호화에 KMS 키를 사용하는 경우 KMS 키 정책은 필요한 AWS KMS 작업에 액세스할 수 있는 모든 사용자가이 KMS 키를 사용하여 EBS 리소스를 암호화하거나 복호화할 수 있도록 허용합니다. EBS 암호화를 사용하려면 사용자에게 다음 작업을 호출할 수 있는 권한을 부여해야 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

자세한 내용은 AWS Key Management Service 개발자 안내서의 기본 키 IAM 정책 섹션에서 AWS 계정에 대한 액세스 허용 및 정책 활성화를 참조하세요.

인스턴스에 대한 권한

인스턴스가 암호화된 AMI, 볼륨 또는 스냅샷과 상호 작용하려고 하면 인스턴스의 자격 증명 전용 역할에 KMS 키 권한이 부여됩니다. 자격 증명 전용 역할은 인스턴스가 사용자를 대신하여 암호화된 AMIs, 볼륨 또는 스냅샷과 상호 작용하는 데 사용하는 IAM 역할입니다.

자격 증명 전용 역할은 수동으로 만들거나 삭제할 필요가 없으며 관련 정책도 없습니다. 또한 자격 증명 전용 역할 보안 인증에는 액세스할 수 없습니다.

자격 증명 전용 역할에는 서비스 제어 정책(SCPs) 및 KMS 키 정책이 적용됩니다. SCP 또는 KMS 키가 KMS 키에 대한 자격 증명 전용 역할 액세스를 거부하는 경우 암호화된 볼륨으로 EC2 인스턴스를 시작하지 못하거나 암호화된 AMIs 또는 스냅샷을 사용하지 못할 수 있습니다.

aws:SourceIp, aws:VpcSourceIpaws:SourceVpc, 또는 aws:SourceVpce AWS 전역 조건 키를 사용하여 네트워크 위치에 따라 액세스를 거부하는 SCP 또는 키 정책을 생성하는 경우 이러한 정책 설명이 인스턴스 전용 역할에 적용되지 않도록 해야 합니다. 예제 정책은 데이터 경계 정책 예제를 참조하세요.

자격 증명 전용 역할은 다음 형식을 ARNs 사용합니다.

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

인스턴스에 키 부여가 발행되면 해당 인스턴스에 고유한 위임된 역할 세션에 키 부여가 발행됩니다. 양수인 보안 주체는 다음 형식을 ARN 사용합니다.

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id