MemoryDB의 미사용 데이터 암호화 - Amazon MemoryDB
에서 고객 관리형 키 사용 AWS KMS참고

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

MemoryDB의 미사용 데이터 암호화

데이터를 안전하게 유지하기 위해 MemoryDB와 Amazon S3는 클러스터의 데이터에 대한 액세스를 제한하는 다양한 방법을 제공합니다. 자세한 내용은 MemoryDB 및 Amazon VPCMemoryDB의 자격 증명 및 액세스 관리 단원을 참조하세요.

영구 데이터를 암호화하여 데이터 보안을 강화하기 위해 MemoryDB 미사용 데이터 암호화는 항상 활성화됩니다. 다음과 같은 측면을 암호화합니다.

  • 트랜잭션 로그의 데이터

  • 동기화, 스냅샷 및 스왑 작업 중 디스크

  • Amazon S3에 저장된 스냅샷

MemoryDB는 저장 시 기본(서비스 관리형) 암호화와 AWS Key Management Service(KMS)에서 자체 대칭 고객 관리형 고객 루트 키를 사용할 수 있는 기능을 제공합니다.

데이터 계층화가 활성화된 클러스터의 SSDs (솔리드 스테이트 드라이브)에 저장된 데이터는 항상 기본적으로 암호화됩니다.

전송 중 데이터 암호화와 관련된 자세한 내용은 MemoryDB의 전송 중 암호화(TLS)을 참조하세요.

에서 고객 관리형 키 사용 AWS KMS

MemoryDB는 저장 시 암호화를 위한 대칭 고객 관리형 루트 키(KMS 키)를 지원합니다. 고객 관리형 KMS 키는 AWS 계정에서 생성, 소유 및 관리하는 암호화 키입니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 고객 루트 키를 참조하세요. 키를 MemoryDB 에 사용하려면 먼저 에서 AWS KMS 생성해야 합니다.

루트 키를 생성하는 AWS KMS 방법을 알아보려면 Key AWS Management Service 개발자 안내서의 키 생성을 참조하세요.

MemoryDB를 사용하면 와 통합할 수 있습니다 AWS KMS. 자세한 내용은 AWS Key Management Service 개발자 안내서권한 부여 사용을 참조하세요. MemoryDB와 의 통합을 활성화하는 데는 고객 작업이 필요하지 않습니다 AWS KMS.

kms:ViaService 조건 키는 키 사용을 AWS KMS 지정된 AWS 서비스의 요청으로 제한합니다. MemoryDB 와 kms:ViaService 함께 사용하려면 조건 키 값 에 두 ViaService 이름을 모두 포함합니다memorydb.amazon_region.amazonaws.com. 자세한 내용은 kms:ViaService를 참조하세요.

AWS CloudTrail 를 사용하여 MemoryDB가 사용자를 대신하여 보내는 AWS Key Management Service 요청을 추적할 수 있습니다. 고객 관리형 키와 AWS Key Management Service 관련된 에 대한 모든 API 호출에는 해당 CloudTrail 로그가 있습니다. ListGrants KMS API 호출을 호출하여 MemoryDB가 생성하는 권한 부여를 볼 수도 있습니다.

고객 관리형 키를 사용하여 클러스터를 암호화하면 클러스터의 모든 스냅샷이 다음과 같이 암호화됩니다.

  • 자동 일일 스냅샷은 클러스터와 연결된 고객 관리형 키를 사용하여 암호화됩니다.

  • 클러스터가 삭제될 때 생성된 최종 스냅샷은 클러스터와 연결된 고객 관리형 키를 사용하여 암호화됩니다.

  • 수동으로 생성된 스냅샷은 클러스터와 연결된 KMS 키를 사용하도록 기본적으로 암호화됩니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.

  • 스냅샷 복사는 기본적으로 소스 스냅샷과 연결된 고객 관리형 키를 사용합니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.

참고

  • 선택한 Amazon S3 버킷으로 스냅샷을 내보낼 때 고객 관리형 키를 사용할 수 없습니다. 그러나 Amazon S3으로 내보낸 모든 스냅샷은 서버 측 암호화를 사용하여 암호화됩니다. 스냅샷 파일을 새 S3 객체에 복사하고 고객 관리형 KMS 키를 사용하여 암호화하거나, 키를 사용하여 기본 암호화로 설정된 다른 S3 버킷에 파일을 복사KMS하거나, 파일 자체에서 암호화 옵션을 변경할 수 있습니다.

  • 또한 고객 관리형 키를 사용하여 암호화에 고객 관리형 키를 사용하지 않는 수동으로 생성한 스냅샷을 암호화할 수도 있습니다. 이 옵션을 사용하면 원본 클러스터에서 데이터가 암호화되지 않더라도 Amazon S3에 저장된 스냅샷 파일이 KMS 키를 사용하여 암호화됩니다.

스냅샷에서 복원하면 새 클러스터를 생성할 때 사용할 수 있는 암호화 옵션과 유사한 암호화 옵션을 선택할 수 있습니다.

  • 클러스터를 암호화하는 데 사용한 키에 대해 키를 삭제하거나 키를 비활성화하고 그랜트를 취소하면 클러스터를 복구할 수 없게 됩니다. 즉, 하드웨어 장애 후에는 수정하거나 복구할 수 없습니다. AWS KMS 는 최소 7일의 대기 기간이 지난 후에만 루트 키를 삭제합니다. 키를 삭제한 후 다른 고객 관리형 키를 사용하여 보관용 스냅샷을 생성할 수 있습니다.

  • 자동 키 교체는 루트 키의 AWS KMS 속성을 보존하므로 MemoryDB 데이터에 액세스하는 기능에 영향을 주지 않습니다. 암호화된 MemoryDB 클러스터는 새로운 루트 키를 생성하거나 이전 키에 대한 모든 참조를 업데이트하는 수동 키 교체를 지원하지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 고객 루트 키 교체를 참조하세요.

  • KMS 키를 사용하여 MemoryDB 클러스터를 암호화하려면 클러스터당 하나의 권한이 필요합니다. 이 그랜트는 클러스터의 수명 동안 사용됩니다. 또한 스냅샷을 생성하는 동안 스냅샷당 하나의 권한 부여가 사용됩니다. 이 그랜트는 스냅샷이 생성되면사용 중지됩니다.

  • 권한 부여 및 제한에 대한 AWS KMS 자세한 내용은 AWS 키 관리 서비스 개발자 안내서할당량을 참조하세요.

참고