서버 측 암호화된 Amazon S3 버킷 사용 - FSx러스터용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

서버 측 암호화된 Amazon S3 버킷 사용

FSxfor Lustre는 S3 관리 키 (SSE-S3) 를 사용한 서버 측 암호화를 사용하고 (-) 에 저장된 Amazon S3 버킷을 지원합니다. AWS KMS keys AWS Key Management Service SSE KMS

Amazon에서 S3 버킷에 데이터를 쓸 때 데이터를 FSx 암호화하도록 하려면 S3 버킷의 기본 암호화를 -S3 또는 SSE SSE -로 설정해야 합니다. KMS 자세한 내용은 Amazon S3 사용자 가이드기본 암호화 구성을 참조하세요. S3 버킷에 파일을 쓸 때 Amazon은 S3 버킷의 기본 암호화 정책을 FSx 따릅니다.

Amazon은 기본적으로 SSE -S3를 사용하여 암호화된 S3 버킷을 FSx 지원합니다. Amazon FSx 파일 시스템을 KMS 암호화를 사용하여 암호화된 S3 버킷에 연결하려면 Amazon이 키를 사용하여 SSE S3 버킷의 객체를 암호화하고 해독할 수 있도록 허용하는 설명을 고객 관리형 키 정책에 추가해야 합니다. FSx KMS

다음 명령문은 특정 Amazon FSx 파일 시스템이 특정 S3 버킷의 객체를 암호화하고 해독할 수 있도록 허용합니다.bucket_name.

{ "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::aws_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fsx_file_system_id" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "s3.bucket-region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*" } } }
참고

S3 버킷 키가 활성화된 상태에서 a를 사용하여 S3 버킷을 암호화하는 경우 다음 EncryptionContext 예와 같이 객체가 ARN 아닌 ARN 버킷으로 설정하십시오. KMS CMK

"StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name" }

다음 정책 설명문은 계정의 모든 Amazon FSx 파일 시스템을 특정 S3 버킷에 연결할 수 있도록 허용합니다.

{ "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "aws_account_id", "kms:ViaService": "s3.bucket-region.amazonaws.com" }, "StringLike": { "aws:userid": "*:FSx", "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::bucket_name/*" } } }

다른 서버 AWS 계정 또는 공유에서 암호화된 서버 측 Amazon S3 버킷에 액세스 VPC

암호화된 Amazon S3 FSx 버킷에 연결된 Lustre 파일 시스템을 생성한 후에는 연결된 S3 버킷에서 데이터를 읽거나 쓰기 전에 S3 버킷을 암호화하는 데 사용되는 KMS 키에 대한 AWSServiceRoleForFSxS3Access_fs-01234567890 서비스 연결 역할 (SLR) 액세스 권한을 부여해야 합니다. 이미 키에 대한 권한이 있는 IAM 역할을 사용할 수 있습니다. KMS

참고

이 IAM 역할은 KMS 키/S3 버킷이 속한 계정이 아니라 FSx for Lustre 파일 시스템이 생성된 계정 (S3와 동일한 계정SLR) 에 있어야 합니다.

IAM역할을 사용하여 다음을 호출하여 S3에 대한 권한 AWS KMS API 부여를 생성하여 S3 SLR 객체에 대한 권한을 SLR 얻도록 합니다. ARN관련 항목을 찾으려면 파일 시스템 ID를 검색 문자열로 사용하여 IAM 역할을 검색하십시오. SLR

$ aws kms create-grant --region fs_account_region \ --key-id arn:aws:kms:s3_bucket_account_region:s3_bucket_account:key/key_id \ --grantee-principal arn:aws:iam::fs_account_id:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_file-system-id \ --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

서비스 연결 역할에 대한 자세한 내용은 Amazon FSx에 대해 서비스 연결 역할 사용 섹션을 참조하세요.