저장 데이터 암호화 - FSx러스터용
유휴 암호화 작동 방식AWS KMS 키 관리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 데이터 암호화

저장 데이터의 암호화는 Amazon FSx for Lustre 파일 시스템을 AWS Management Console, 를 통해 또는 Amazon FSx API 또는 둘 중 하나를 통해 프로그래밍 방식으로 생성할 때 자동으로 활성화됩니다. AWS CLI AWS SDKs 조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다. 영구 파일 시스템을 생성하는 경우 데이터를 암호화하는 데 사용할 AWS KMS 키를 지정할 수 있습니다. 스크래치 파일 시스템을 생성하면 Amazon에서 관리하는 키를 사용하여 데이터가 암호화됩니다FSx. 콘솔을 사용하여 암호화된 파일 시스템을 생성하는 방법에 대한 자세한 내용은 Amazon FSx for Lustre 파일 시스템 생성을 참조하십시오.

참고

AWS 키 관리 인프라는 연방 정보 처리 표준 (FIPS) 140-2 승인 암호화 알고리즘을 사용합니다. 인프라는 국립 표준 기술 연구소 (NIST) 800-57 권장 사항과 일치합니다.

Lustre의 FSx 사용 방법에 대한 자세한 내용은 을 참조하십시오. AWS KMS아마존 포 FSx 러스터가 사용하는 방법 AWS KMS

유휴 암호화 작동 방식

암호화가 적용된 파일 시스템의 경우, 데이터와 메타데이터가 자동으로 암호화된 후 파일 시스템에 기록됩니다. 유사하게 데이터와 메타데이터를 읽을 때, 자동으로 암호화를 해제한 후 애플리케이션으로 전달됩니다. Amazon FSx for Lustre는 이러한 프로세스를 투명하게 처리하므로 애플리케이션을 수정할 필요가 없습니다.

Amazon FSx for Lustre는 업계 표준 AES -256 암호화 알고리즘을 사용하여 저장된 파일 시스템 데이터를 암호화합니다. 자세한 내용은AWS Key Management Service 개발자 안내서암호화 기초를 참조하세요.

아마존 포 FSx 러스터가 사용하는 방법 AWS KMS

Amazon FSx for Lustre는 데이터를 파일 시스템에 쓰기 전에 자동으로 암호화하고 데이터를 읽는 즉시 자동으로 복호화합니다. 데이터는 - -256 블록 암호를 사용하여 암호화됩니다. XTS AES Lustre 파일 시스템의 모든 FSx 스크래치는 유휴 상태에서 암호화되며 에서 관리하는 키를 사용합니다. AWS KMS Amazon FSx for Lustre는 키 관리를 AWS KMS 위해 와 통합됩니다. 저장된 스크래치 파일 시스템을 암호화하는 데 사용되는 키는 파일 시스템별로 고유하며 파일 시스템이 삭제된 후에는 삭제됩니다. 영구 파일 시스템의 경우 데이터를 암호화하고 복호화하는 데 사용할 KMS 키를 선택합니다. 영구 파일 시스템을 생성할 때 사용할 키를 지정합니다. 이 키에 대한 권한 부여를 활성화, 비활성화 또는 취소할 수 있습니다. KMS 이 KMS 키는 다음 두 가지 유형 중 하나일 수 있습니다.

  • AWS 관리형 키 Amazon의 경우 FSx — 기본 KMS 키입니다. KMS키 생성 및 저장에는 요금이 부과되지 않지만 사용 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

  • 고객 관리 키 — 여러 사용자 또는 서비스에 대한 KMS 키 정책 및 권한 부여를 구성할 수 있으므로 가장 유연하게 사용할 수 있는 키입니다. 고객 관리 키를 만드는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서에서 키 만들기를 참조하십시오.

고객 관리 키를 파일 데이터 암호화 및 암호 해독을 위한 KMS 키로 사용하는 경우 키 교체를 활성화할 수 있습니다. 키 교체를 활성화하면 일년에 한 번 키가 AWS KMS 자동으로 교체됩니다. 또한 고객 관리형 키를 사용하면 고객 관리형 키에 대한 액세스를 비활성화, 재활성화, 삭제, 취소하는 시기를 선택할 수 있습니다.

중요

Amazon은 대칭 암호화 KMS 키만 FSx 허용합니다. Amazon에서는 비대칭 KMS 키를 사용할 수 없습니다. FSx

다음에 대한 아마존 FSx 주요 정책 AWS KMS

키 정책은 키에 대한 액세스를 KMS 제어하는 기본 방법입니다. 키 정책에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서AWS KMS의 키 정책 사용을 참조하세요. 다음 목록은 암호화된 저장 파일 시스템에 FSx 대해 Amazon에서 지원하는 모든 AWS KMS관련 권한을 설명합니다.

  • kms:Encrypt – (선택 사항) 일반 텍스트를 사이퍼텍스트로 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms:Decrypt – (필수 사항) 사이퍼텍스트를 암호화 해제합니다. 사이퍼텍스트는 이전에 암호화한 일반 텍스트입니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms: ReEncrypt — (선택 사항) 클라이언트 측 데이터의 일반 텍스트를 노출하지 않고 새 KMS 키로 서버 측 데이터를 암호화합니다. 먼저 데이터를 복호화한 후 다시 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms: GenerateDataKeyWithoutPlaintext — (필수) 키로 암호화된 데이터 암호화 키를 반환합니다. KMS 이 권한은 kms: GenerateDataKey *의 기본 키 정책에 포함됩니다.

  • kms: CreateGrant - (필수) 누가 어떤 조건에서 키를 사용할 수 있는지 지정하는 권한 부여를 키에 추가합니다. 이런 권한 부여는 키 정책을 대체하는 권한 메커니즘입니다. 권한 부여에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서권한 부여 사용을 참조하세요. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms: DescribeKey — (필수) 지정된 KMS 키에 대한 세부 정보를 제공합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

  • kms: ListAliases — (선택 사항) 계정의 모든 키 별칭을 나열합니다. 콘솔을 사용하여 암호화된 파일 시스템을 생성할 때 이 권한은 키를 선택할 수 있는 목록을 채웁니다. KMS 최상의 사용자 경험을 제공하기 위해 이 권한을 사용하는 것이 좋습니다. 이 권한은 기본 키 정책에 포함되어 있습니다.