AWS KMS - Amazon Elastic File System
AWS KMS에 대한 Amazon EFS 키 정책

AWS KMS

Amazon EFS는 키 관리를 위해 AWS Key Management Service(AWS KMS)와 통합됩니다. Amazon EFS는 고객 관리형 키를 사용하여 다음과 같은 방식으로 파일 시스템을 암호화합니다.

  • 유휴 메타데이터 암호화 – Amazon EFS는 Amazon EFS용 AWS 관리형 키인 aws/elasticfilesystem을 사용해 파일 시스템 메타데이터(예: 파일 이름, 디렉터리 이름, 디렉터리 내용)를 암호화하고 암호를 해제합니다.

  • 저장 데이터 암호화 - 고객 관리형 키를 선택해 파일 데이터(파일의 내용)를 암호화하고 암호를 해제합니다. 이 고객 관리형 키에 대한 권한을 활성화, 비활성화 또는 취소할 수 있습니다. 이 고객 관리형 키는 다음 두 유형 중 하나일 수 있습니다.

    • Amazon EFS용 AWS 관리형 키 - 기본 고객 관리형 키인 aws/elasticfilesystem입니다. 고객 관리형 키를 생성하고 저장하는 데 요금이 부과되는 것은 아니지만, 사용 요금이 있습니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

    • 고객 관리형 키 – 여러 사용자나 서비스에 대한 키 정책 및 권한을 구성할 수 있는 가장 유연한 KMS 키입니다. 고객 관리형 키 생성에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서키 생성을 참조하세요.

      고객 관리형 키를 데이터 암호화 및 암호화 해제를 위해 사용하면 키 교체를 활성화할 수 있습니다. 키 교체를 활성화하면 AWS KMS가 매년 1회 키를 자동 교체합니다. 또한 고객 관리형 키를 사용하면 고객 관리형 키에 대한 액세스를 비활성화, 재활성화, 삭제, 취소하는 시기를 선택할 수 있습니다. 자세한 내용은 암호화된 파일 시스템에 대한 액세스 관리 단원을 참조하십시오.

중요

Amazon EFS는 대칭적인 고객 관리형 키만 허용합니다. Amazon EFS에서는 비대칭 고객 관리형 키를 사용할 수 없습니다.

유휴 데이터 암호화 및 암호화 해제는 투명하게 처리됩니다. 그러나 Amazon EFS에 특정적인 AWS 계정 ID가 AWS KMS 작업과 관련된 AWS CloudTrail 로그에 표시됩니다. 자세한 내용은 파일 시스템 유휴 암호화용 Amazon EFS 로그 파일 항목 단원을 참조하십시오.

AWS KMS에 대한 Amazon EFS 키 정책

키 정책은 고객 관리형 키(CMK)에 대한 액세스를 제어하는 기본적인 방법입니다. 키 정책에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서AWS KMS의 키 정책을 참조하세요. 다음은 Amazon EFS가 암호화된 저장 파일 시스템을 위해 필수적이거나 기타를 지원하는 모든 AWS KMS 관련 권한을 나열한 목록입니다.

  • kms:Encrypt – (선택 사항)일반 텍스트를 사이퍼텍스트로 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms:Decrypt – (필수 사항) 사이퍼텍스트를 암호화 해제합니다. 사이퍼텍스트는 이전에 암호화한 일반 텍스트입니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms:ReEncrypt – (선택 사항)클라이언트 측에서 데이터의 일반 텍스트를 노출하지 않으면서 새 고객 관리형 키로 서버 측의 데이터를 암호화합니다. 먼저 데이터를 복호화한 후 다시 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms:GenerateDataKeyWithoutPlaintext – (필수 사항) 고객 관리형 키로 암호화된 데이터 암호화 키를 반환합니다. 이 권한은 kms:GenerateDataKey* 아래 기본 키 정책에 포함되어 있습니다.

  • kms:CreateGrant – (필수 사항)특정 조건 하에 키를 사용할 수 있는 사람을 지정할 수 있도록 키에 권한을 추가합니다. 이런 권한 부여는 키 정책을 대체하는 권한 메커니즘입니다. 권한 부여에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서권한 부여 사용을 참조하세요. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms:DescribeKey – (필수 사항)지정한 고객 관리형 키에 대한 세부 정보를 제공합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms:ListAliases – (선택 사항)계정의 모든 키 별칭을 나열합니다. 콘솔을 사용해 암호화된 파일 시스템을 생성하는 경우, 이 권한이 KMS 키 선택 목록을 채웁니다. 최상의 사용자 경험을 제공하기 위해 이 권한을 사용하는 것이 좋습니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

아마존 EFS KMS 정책용 AWS 관리형 키

Amazon EFS의 AWS 관리형 키을 위한 KMS 정책 JSON인 aws/elasticfilesystem은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}