저장 데이터 암호화
AWS Management Console이나 AWS CLI를 사용하여, 또는 Amazon EFS API나 AWS SDK를 통해 프로그래밍 방식으로 암호화된 파일 시스템을 생성할 수 있습니다. 조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다.
EFS 파일 시스템을 생성한 후에는 암호화 설정을 변경할 수 없습니다. 즉, 암호화되지 않은 파일 시스템을 수정하여 암호화할 수 없습니다. 대신 암호화된 새 파일 시스템을 생성해야 합니다.
참고
AWS 키 관리 인프라는 FIPS(연방 정보 처리 표준) 140-2가 승인한 암호화 알고리즘을 사용합니다. 이 인프라는 미국 국립 표준 기술 연구소(NIST) 800-57 표준의 권장 사항에 부합됩니다.
저장 시 암호화된 Amazon EFS 파일 시스템 강제 생성
AWS Identity and Access Management(IAM) 자격 증명 기반 정책의 elasticfilesystem:Encrypted IAM 조건 키를 사용하여 사용자가 유휴 암호화된 Amazon EFS 파일 시스템을 생성할 수 있는지 여부를 제어할 수 있습니다. 조건 키 사용에 관한 자세한 내용은 예: 암호화된 파일 시스템 생성 적용 섹션을 참조하세요.
또한 AWS Organizations 내부의 서비스 제어 정책(SCP) 을 정의하여 조직의 모든 AWS 계정에 EFS 암호화를 적용할 수 있습니다. AWS Organizations의 서비스 제어 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서에서 서비스 제어 정책을 참조하세요.
콘솔을 사용해 유휴 파일 시스템 암호화
Amazon EFS 콘솔을 사용하여 새 파일 시스템을 생성하면 유휴 암호화가 기본적으로 활성화됩니다.
참고
AWS CLI, API 및 SDK를 사용하여 새 파일 시스템을 생성할 때는 유휴 암호화가 기본적으로 활성화되지 않습니다. 자세한 내용은 파일 시스템 생성(AWS CLI) 단원을 참조하십시오.
유휴 암호화 작동 방식
암호화가 적용된 파일 시스템의 경우, 데이터와 메타데이터가 자동으로 암호화된 후 파일 시스템에 기록됩니다. 유사하게 데이터와 메타데이터를 읽을 때, 자동으로 암호화를 해제한 후 애플리케이션으로 전달됩니다. Amazon EFS는 해당 프로세스를 투명하게 처리하기 때문에 애플리케이션을 수정할 필요가 없습니다.
Amazon EFS는 유휴 시 EFS 데이터 및 메타데이터 암호화에 업계 표준인 AES-256 암호화 알고리즘을 사용합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 암호화 기초를 참조하세요.
