기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
기본적으로 Amazon EBS 암호화 활성화
생성한 새 EBS 볼륨 및 스냅샷 복사본의 암호화를 적용하도록 AWS 계정을 구성할 수 있습니다. 예를 들어 Amazon EBS는 인스턴스 시작 시 생성된 EBS 볼륨과 암호화되지 않은 스냅샷에서 복사하는 스냅샷을 암호화합니다. 암호화되지 않은 EBS 리소스에서 암호화된 리소스로의 이전 예제는 암호화되지 않은 리소스 암호화 섹션을 참조하세요.
기본적으로 암호화는 기존 EBS 볼륨이나 스냅샷에 영향을 미치지 않습니다.
고려 사항
-
암호화 기본 제공은 리전별 설정입니다. 특정 기능에 대해 이 기능을 활성화하면 해당 리전의 개별 볼륨 또는 스냅샷에 대해 비활성화할 수 없습니다.
-
Amazon EBS 암호화는 기본적으로 모든 현재 세대 및 이전 세대 인스턴스 유형에서 지원됩니다.
-
스냅샷을 복사하고 새 KMS 키로 암호화하면 전체(비증분) 복사본이 생성됩니다. 이로 인해 추가 스토리지 비용이 발생합니다.
-
AWS Server Migration Service (SMS)를 사용하여 서버를 마이그레이션할 때는 기본적으로 암호화를 켜지 마십시오. 기본적으로 암호화가 이미 설정되어 있고 델타 복제 오류가 발생하는 경우 이 기능을 해제하세요. 대신 복제 작업을 생성할 때 AMI 암호화를 활성화하세요.
- Amazon EC2 console
-
리전에서 암호화를 기본적으로 활성화하려면
https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.
-
탐색 모음에서 해당 리전을 선택합니다.
-
탐색 창에서 EC2 대시보드를 선택합니다.
-
페이지의 오른쪽 위 모서리에서 계정 속성, 데이터 보호 및 보안을 선택합니다.
-
EBS 암호화 섹션에서 관리를 선택합니다.
-
활성화를 선택합니다. 사용자를 대신하여 aws/ebs 생성된 별칭 AWS 관리형 키 을 기본 암호화 키로 사용하여를 유지하거나 대칭 고객 관리형 암호화 키를 선택합니다.
-
EBS 암호화 업데이트(Update EBS encryption)를 선택합니다.
- AWS CLI
-
기본 설정에 따른 암호화 보기
-
특정 리전
$ aws ec2 get-ebs-encryption-by-default --region region
-
계정 내 모든 리전
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
기본적으로 암호화 활성화
-
특정 리전
$ aws ec2 enable-ebs-encryption-by-default --region region
-
계정 내 모든 리전
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
기본적으로 암호화 비활성화
-
특정 리전
$ aws ec2 disable-ebs-encryption-by-default --region region
-
계정 내 모든 리전
$ echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
- PowerShell
-
기본 설정에 따른 암호화 보기
-
특정 리전
PS C:\> Get-EC2EbsEncryptionByDefault -Region region
-
계정 내 모든 리전
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |`
Format-Table -AutoSize
기본적으로 암호화 활성화
-
특정 리전
PS C:\> Enable-EC2EbsEncryptionByDefault -Region region
-
계정 내 모든 리전
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } | `
Format-Table -AutoSize
기본적으로 암호화 비활성화
-
특정 리전
PS C:\> Disable-EC2EbsEncryptionByDefault -Region region
-
계정 내 모든 리전
PS C:\> (Get-EC2Region).RegionName |`
ForEach-Object {
[PSCustomObject]@{
Region = $_;
EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_;
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } | `
Format-Table -AutoSize
기존 스냅샷이나 암호화된 볼륨과 연동되어 있는 KMS 키는 변경할 수 없습니다. 하지만 스냅샷 복사 작업 중에 다른 KMS 키와(과) 연동시킬 수는 있습니다. 복사된 스냅샷은 새로운 KMS 키(으)로 암호화됩니다.
