기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon EBS의 암호화 방식
<a name="how-ebs-encryption-works"></a>

EC2 인스턴스의 부팅 및 데이터 볼륨을 모두 암호화할 수 있습니다.

암호화된 EBS 볼륨을 만들고 지원되는 인스턴스 유형에 이 볼륨을 연결하면 다음 유형의 데이터가 암호화됩니다.
+ 볼륨 내부에 있는 데이터
+ 볼륨과 인스턴스 사이에서 이동하는 모든 데이터
+ 볼륨에서 생성된 모든 스냅샷
+ 그런 스냅샷에서 생성된 모든 볼륨

Amazon EBS는 산업 표준 AES-256 데이터 암호화를 사용하여 [데이터 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys)로 볼륨을 암호화합니다. 데이터 키는에서 생성된 AWS KMS 다음 볼륨 정보와 함께 저장되기 전에 AWS KMS 키 AWS KMS 로에서 암호화됩니다. Amazon EBS는 Amazon EBS 리소스를 생성하는 각 리전 AWS 관리형 키 에서 고유한를 자동으로 생성합니다. KMS 키의 [별칭](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html)은 `aws/ebs`입니다. 기본적으로 Amazon EBS은(는) 암호화에 이 KMS 키를 사용합니다. 또는 생성한 대칭 고객 관리형 암호화 키를 사용할 수 있습니다. 자체 KMS 키를 사용하여 KMS 키 생성, 교체 및 비활성화 기능을 비롯한 다양한 작업을 수행할 수 있습니다.

Amazon EC2는와 함께 작동 AWS KMS 하여 암호화된 볼륨을 생성하는 스냅샷이 암호화되는지 아니면 암호화되지 않았는지에 따라 약간 다른 방식으로 EBS 볼륨을 암호화하고 복호화합니다.

## 스냅샷이 암호화된 경우에 EBS 암호화가 작동하는 방식
<a name="how-ebs-encryption-works-encrypted-snapshot"></a>

소유한 암호화된 스냅샷에서 암호화된 볼륨을 생성하면 Amazon EC2는와 함께 다음과 같이 EBS 볼륨 AWS KMS 을 암호화하고 해독합니다.

1. Amazon EC2는 볼륨 암호화에 대해 선택한 KMS 키를 AWS KMS지정하여 [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) 요청을에 보냅니다.

1. 볼륨이 스냅샷과 동일한 KMS 키를 사용하여 암호화된 경우는 스냅샷과 동일한 데이터 키를 AWS KMS 사용하고 동일한 KMS 키로 암호화합니다. 볼륨이 다른 KMS 키를 사용하여 암호화된 경우는 새 데이터 키를 AWS KMS 생성하고 지정한 KMS 키로 암호화합니다. 암호화된 데이터 키는 Amazon EBS로 전송되어 볼륨 메타데이터와 함께 저장됩니다.

1. 암호화된 볼륨을 인스턴스에 연결하면 Amazon EC2에서는 데이터 키를 해독할 수 있도록 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을 AWS KMS 로 보냅니다.

1. AWS KMS 는 암호화된 데이터 키를 복호화하고 복호화된 데이터 키를 Amazon EC2로 전송합니다.

1. Amazon EC2는 Nitro 하드웨어의 일반 텍스트 데이터 키를 사용하여 디스크 I/O를 볼륨으로 암호화합니다. 볼륨이 인스턴스에 연결되어 있는 동안에는 일반 텍스트 형태의 데이터 키가 메모리에 유지됩니다.

## 스냅샷이 암호화되지 않은 경우에 EBS 암호화가 작동하는 방식
<a name="how-ebs-encryption-works-unencrypted-snapshot"></a>

암호화되지 않은 스냅샷에서 암호화된 볼륨을 생성하는 경우에는 Amazon EC2가 AWS KMS 와 함께 다음과 같이 EBS 볼륨을 암호화하고 복호화합니다.

1. Amazon EC2는 스냅샷에서 생성된 볼륨을 암호화할 수 AWS KMS있도록 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을에 보냅니다.

1. Amazon EC2는 볼륨 암호화에 대해 선택한 KMS 키를 AWS KMS지정하여 [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) 요청을에 보냅니다.

1. AWS KMS 는 새 데이터 키를 생성하고 볼륨 암호화를 위해 선택한 KMS 키로 암호화한 다음 암호화된 데이터 키를 Amazon EBS에 전송하여 볼륨 메타데이터와 함께 저장합니다.

1. Amazon EC2는에 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 요청을 전송 AWS KMS 하여 암호화된 데이터 키를 해독한 다음 볼륨 데이터를 암호화하는 데 사용합니다.

1. 암호화된 볼륨을 인스턴스에 연결하면 Amazon EC2에서는 데이터 키를 해독할 수 있도록 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을 AWS KMS로 보냅니다.

1. 암호화된 볼륨을 인스턴스에 연결하면 Amazon EC2는 암호화된 데이터 키를 AWS KMS지정하여에 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 요청을 보냅니다.

1. AWS KMS 는 암호화된 데이터 키를 복호화하고 복호화된 데이터 키를 Amazon EC2로 전송합니다.

1. Amazon EC2는 Nitro 하드웨어의 일반 텍스트 데이터 키를 사용하여 디스크 I/O를 볼륨으로 암호화합니다. 볼륨이 인스턴스에 연결되어 있는 동안에는 일반 텍스트 형태의 데이터 키가 메모리에 유지됩니다.

자세한 내용은 [AWS KMS개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html)의 [Amazon Elastic Block Store(Amazon EBS)가AWS Key Management Service 를 사용하는 방식](https://docs.aws.amazon.com/kms/latest/developerguide/ct-ec2two.html) 및 *Amazon EC2 예제 2*를 참조하세요.

## 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향
<a name="unusable-keys"></a>

KMS 키를 사용할 수 없게 되면 효과는 거의 즉각적으로 나타납니다(최종 일관성에 따라 다름). KMS 키의 키 상태는 새로운 조건을 반영하도록 변경되며 암호화 작업에서 KMS 키를 사용하려는 모든 요청은 실패합니다.

KMS 키를 사용할 수 없게 하려는 작업을 수행해도 EC2 인스턴스나 연결된 EBS 볼륨에 즉각적인 영향은 없습니다. Amazon EC2는 KMS 키가 아닌 데이터 키를 사용하여 볼륨이 인스턴스에 연결되어 있는 동안 모든 디스크 I/O를 암호화합니다.

단, 암호화된 EBS 볼륨이 EC2 인스턴스에서 삭제되면 Amazon EBS는 데이터 키를 Nitro 하드웨어에서 제거합니다. 다음에 암호화된 EBS 볼륨을 EC2 인스턴스에 연결할 때 Amazon EBS가 KMS 키를 사용하여 볼륨의 암호화된 데이터 키를 해독하지 못하므로 연결에 실패합니다. EBS 볼륨을 다시 사용하려면 KMS 키를 다시 사용할 수 있게 만들어야 합니다.

**작은 정보**  
사용할 수 없게 하려는 KMS 키에서 생성된 데이터 키로 암호화된 EBS 볼륨에 저장된 데이터에 더 이상 액세스하지 않으려면 KMS 키를 사용할 수 없게 하기 전에 EC2 인스턴스에서 EBS 볼륨을 분리하는 것이 좋습니다.

자세한 내용은 *AWS Key Management Service 개발자 안내서*에서 [사용할 수 없는 KMS 키가 데이터 키에 영향을 미치는 방법](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#unusable-kms-keys)을 참조하세요.