기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
저장 데이터 암호화
AWS Management Console, 를 사용하거나 Amazon EFS API 또는 Amazon 중 하나를 통해 프로그래밍 방식으로 암호화된 파일 시스템을 생성할 수 있습니다. AWS CLI AWS SDKs 조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다.
EFS파일 시스템을 생성한 후에는 암호화 설정을 변경할 수 없습니다. 즉, 암호화되지 않은 파일 시스템을 수정하여 암호화할 수 없습니다. 대신 암호화된 새 파일 시스템을 생성해야 합니다.
참고
AWS 키 관리 인프라는 연방 정보 처리 표준 (FIPS) 140-2 승인 암호화 알고리즘을 사용합니다. 인프라는 국립 표준 기술 연구소 (NIST) 800-57 권장 사항과 일치합니다.
저장된 상태에서 암호화된 Amazon EFS 파일 시스템 생성 적용
AWS Identity and Access Management (IAM) ID 기반 정책의 elasticfilesystem:Encrypted IAM 조건 키를 사용하여 사용자가 저장 중에 암호화된 Amazon EFS 파일 시스템을 생성할 수 있는지 여부를 제어할 수 있습니다. 조건 키 사용에 관한 자세한 내용은 예: 암호화된 파일 시스템 생성 적용 섹션을 참조하세요.
또한 내부에 서비스 제어 정책 (SCPs) 을 AWS Organizations 정의하여 조직 내 모든 AWS 계정사용자에게 EFS 암호화를 적용할 수 있습니다. 의 서비스 제어 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서의 서비스 제어 정책을 참조하십시오. AWS Organizations
콘솔을 사용해 유휴 파일 시스템 암호화
Amazon EFS 콘솔을 사용하여 새 파일 시스템을 생성하면 저장 중 암호화가 기본적으로 활성화됩니다. 다음 절차는 콘솔에서 새 파일 시스템을 생성할 때 암호화를 활성화하는 방법을 설명하고 있습니다.
참고
AWS CLI API, 및 를 사용하여 새 파일 시스템을 생성할 때는 저장 중 암호화가 기본적으로 활성화되지 않습니다SDKs. 자세한 내용은 파일 시스템 생성 (AWS CLI) 단원을 참조하십시오.
콘솔을 사용하여 새 파일 시스템을 암호화하려면 EFS
-
에서 Amazon Elastic File System 콘솔을 엽니다 https://console.aws.amazon.com/efs/
. -
파일 시스템 생성을 선택해 파일 시스템 생성 마법사를 엽니다.
-
(선택 사항) 이름에 파일 시스템의 이름을 입력합니다.
-
가상 사설 클라우드 (VPC) 의 VPC 경우 하나를 선택하거나 기본값으로 설정하십시오VPC.
-
생성을 선택하여 다음과 같은 서비스 권장 설정을 사용하는 파일 시스템을 생성합니다.
Amazon EFS (
aws/elasticfilesystem) 기본값을 AWS KMS key 사용하여 저장 데이터 암호화가 활성화되었습니다.자동 백업 켜짐 - 자세한 내용은 EFS파일 시스템 백업 섹션을 참조하세요.
탑재 대상 — EFS Amazon은 다음 설정으로 탑재 대상을 생성합니다.
파일 시스템이 생성된 가용 영역의 각 AWS 리전 가용 영역에 있습니다.
선택한 기본 VPC 서브넷에 있습니다.
VPC의 기본 보안 그룹을 사용합니다. 파일 시스템이 생성되면 보안 그룹을 관리할 수 있습니다.
자세한 내용은 탑재 대상 생성 단원을 참조하십시오.
범용 성능 모드 - 자세한 내용은 성능 모드 섹션을 참조하세요.
탄력적 처리량 모드 - 자세한 내용은 처리량 모드 섹션을 참조하세요.
30일 정책을 통해 활성화된 수명 주기 관리 - 자세한 내용은 EFS파일 시스템의 스토리지 수명 주기 관리 섹션을 참조하세요.
-
파일 시스템 페이지는 상단에 생성한 파일 시스템의 상태를 보여주는 배너와 함께 나타납니다. 파일 시스템을 사용할 수 있게 되면 배너에 파일 시스템 세부 정보 페이지에 액세스할 수 있는 링크가 나타납니다.
이제 새 encrypted-at-rest 파일 시스템이 생겼습니다.
유휴 암호화 작동 방식
암호화가 적용된 파일 시스템의 경우, 데이터와 메타데이터가 자동으로 암호화된 후 파일 시스템에 기록됩니다. 유사하게 데이터와 메타데이터를 읽을 때, 자동으로 암호화를 해제한 후 애플리케이션으로 전달됩니다. Amazon은 이러한 프로세스를 투명하게 EFS 처리하므로 애플리케이션을 수정할 필요가 없습니다.
EFSAmazon은 업계 표준 AES -256 암호화 알고리즘을 사용하여 저장된 데이터와 EFS 메타데이터를 암호화합니다. 자세한 내용은AWS Key Management Service 개발자 안내서의 암호화 기초를 참조하세요.
아마존이 EFS 사용하는 방법 AWS KMS
Amazon은 키 관리를 위해 AWS Key Management Service (AWS KMS) 와 EFS 통합됩니다. EFSAmazon은 고객 관리 키를 사용하여 다음과 같은 방식으로 파일 시스템을 암호화합니다.
-
저장된 메타데이터 암호화 — EFS Amazon은 AWS 관리형 키 Amazon용 를 사용하여 파일 시스템 메타데이터 (즉 EFS
aws/elasticfilesystem, 파일 이름, 디렉터리 이름, 디렉터리 콘텐츠) 를 암호화하고 해독합니다. -
저장 데이터 암호화 - 고객 관리형 키를 선택해 파일 데이터(파일의 내용)를 암호화하고 암호를 해제합니다. 이 고객 관리형 키에 대한 권한을 활성화, 비활성화 또는 취소할 수 있습니다. 이 고객 관리형 키는 다음 두 유형 중 하나일 수 있습니다.
-
AWS 관리형 키 Amazon의 경우 EFS — 기본 고객 관리
aws/elasticfilesystem키입니다. 고객 관리형 키를 생성하고 저장하는 데 요금이 부과되는 것은 아니지만, 사용 요금이 있습니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요. -
고객 관리 키 — 여러 사용자 또는 서비스에 대한 KMS 키 정책 및 권한 부여를 구성할 수 있으므로 가장 유연하게 사용할 수 있는 키입니다. 고객 관리 키를 만드는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서에서 키 만들기를 참조하십시오.
고객 관리형 키를 데이터 암호화 및 암호화 해제를 위해 사용하면 키 교체를 활성화할 수 있습니다. 키 순환을 활성화하면 1년에 한 번 AWS KMS 자동으로 키를 교체합니다. 또한 고객 관리형 키를 사용하면 고객 관리형 키에 대한 액세스를 비활성화, 재활성화, 삭제, 취소하는 시기를 선택할 수 있습니다. 자세한 내용은 암호화된 파일 시스템에 대한 액세스 관리 단원을 참조하십시오.
-
중요
Amazon은 대칭적인 고객 관리 키만 EFS 허용합니다. Amazon에서는 비대칭 고객 관리 키를 사용할 수 없습니다. EFS
유휴 데이터 암호화 및 암호화 해제는 투명하게 처리됩니다. 하지만 Amazon IDs 전용 AWS 계정은 AWS KMS 작업과 관련된 AWS CloudTrail 로그에 EFS 표시됩니다. 자세한 내용은 파일 시스템용 Amazon EFS 로그 encrypted-at-rest 파일 항목 단원을 참조하십시오.
다음에 대한 아마존 EFS 주요 정책 AWS KMS
키 정책은 고객 관리형 키(CMK)에 대한 액세스를 제어하는 기본적인 방법입니다. 키 정책에 대한 자세한 내용은AWS Key Management Service 개발자 안내서의 AWS KMS의 키 정책을 참조하세요. 다음 목록은 암호화된 저장 파일 시스템에 EFS 대해 Amazon이 요구하거나 지원하는 모든 AWS KMS관련 권한을 설명합니다.
-
kms:Encrypt – (선택 사항) 일반 텍스트를 사이퍼텍스트로 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
-
kms:Decrypt – (필수 사항) 사이퍼텍스트를 암호화 해제합니다. 사이퍼텍스트는 이전에 암호화한 일반 텍스트입니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
-
kms: ReEncrypt — (선택 사항) 클라이언트 측 데이터의 일반 텍스트를 노출하지 않고 새 고객 관리 키로 서버 측 데이터를 암호화합니다. 먼저 데이터를 복호화한 후 다시 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
-
kms: GenerateDataKeyWithoutPlaintext — (필수) 고객 관리 키로 암호화된 데이터 암호화 키를 반환합니다. 이 권한은 kms: GenerateDataKey *의 기본 키 정책에 포함됩니다.
-
kms: CreateGrant - (필수) 누가 어떤 조건에서 키를 사용할 수 있는지 지정하는 권한 부여를 키에 추가합니다. 이런 권한 부여는 키 정책을 대체하는 권한 메커니즘입니다. 권한 부여에 대한 자세한 내용은AWS Key Management Service 개발자 안내서의 권한 부여 사용을 참조하세요. 이 권한은 기본 키 정책에 포함되어 있습니다.
-
kms: DescribeKey — (필수) 지정된 고객 관리 키에 대한 세부 정보를 제공합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
-
kms: ListAliases - (선택 사항) 계정의 모든 키 별칭을 나열합니다. 콘솔을 사용하여 암호화된 파일 시스템을 생성할 경우 이 권한이 Select KMS key 목록을 채웁니다. 최상의 사용자 경험을 제공하기 위해 이 권한을 사용하는 것이 좋습니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
AWS 관리형 키 아마존 EFS KMS 정책용
EFSAmazon에 JSON AWS 관리형 키 대한 KMS 정책은 다음과 aws/elasticfilesystem 같습니다.
{ "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] }
