MemoryDB의 미사용 데이터 암호화 - Amazon MemoryDB for Redis
AWS KMS에서 고객 관리형 키 사용참고 항목

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

MemoryDB의 미사용 데이터 암호화

데이터를 안전하게 보관하기 위해 MemoryDB for Redis 및 Amazon S3에서는 클러스터에 대한 액세스를 제한하는 다른 방식을 제공합니다. 자세한 정보는 MemoryDB 및 Amazon VPCMemoryDB for Redis의 보안 인증 및 액세스 관리 섹션을 참조하세요.

영구 데이터를 암호화하여 데이터 보안을 강화하기 위해 MemoryDB 미사용 데이터 암호화는 항상 활성화됩니다. 다음과 같은 측면을 암호화합니다.

  • 트랜잭션 로그의 데이터

  • 동기화, 스냅샷 및 스왑 작업 중 디스크

  • Amazon S3에 저장된 스냅샷

MemoryDB는 기본(서비스 관리형) 유휴 데이터 암호화와 더불어 AWS Key Management Service(KMS)에서 자체 대칭 고객 관리형 고객 마스터 키를 사용할 수 있는 기능을 제공합니다.

데이터 계층화가 활성화된 클러스터의 SSD(Solid-State Drive)에 저장된 데이터는 기본적으로 항상 암호화됩니다.

전송 중 데이터 암호화와 관련된 자세한 내용은 MemoryDB에서 전송 중 데이터 암호화(TLS)을 참조하세요.

AWS KMS에서 고객 관리형 키 사용

MemoryDB는 저장된 데이터 암호화에 대한 대칭 고객 관리형 루트(KMS 키)를 지원합니다. 고객 관리형 KMS 키는 사용자가 생성, 소유 및 관리하는 AWS 계정의 암호화 키입니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 고객 루트 키를 참조하세요. MemoryDB와 함께 사용하기 전에 AWS KMS에서 키를 생성해야 합니다.

AWS KMS 루트 키 생성 방법을 알아보려면 AWS Key Management Service 개발자 안내서에서 키 생성을 참조하세요.

MemoryDB를 사용하면 AWS KMS와 통합할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서권한 부여 사용을 참조하세요. MemoryDB와 AWS KMS의 통합을 활성화하기 위해 고객이 별도로 취해야 할 조치는 없습니다.

kms:ViaService 조건 키는 AWS KMS 키의 사용을 지정된 AWS 서비스로부터의 요청으로 제한합니다. MemoryDB에서 kms:ViaService를 사용하려면 조건 키 값 memorydb.amazon_region.amazonaws.com에 ViaService 이름을 모두 포함시켜야 합니다. 자세한 내용은 kms:ViaService 섹션을 참조하세요.

AWS CloudTrail을 사용하여 MemoryDB for Redis가 사용자 대신 AWS Key Management Service에 전송하는 요청을 추적할 수 있습니다. 고객 관리형 키와 관련된 AWS Key Management Service에 대한 모든 API 호출에는 해당 CloudTrail 로그가 있습니다. ListGlants KMS API 직접 호출을 통해 MemoryDB가 생성하는 그랜트를 볼 수도 있습니다.

고객 관리형 키를 사용하여 클러스터를 암호화하면 클러스터의 모든 스냅샷이 다음과 같이 암호화됩니다.

  • 자동 일일 스냅샷은 클러스터와 연결된 고객 관리형 키를 사용하여 암호화됩니다.

  • 클러스터가 삭제될 때 생성된 최종 스냅샷은 클러스터와 연결된 고객 관리형 키를 사용하여 암호화됩니다.

  • 수동으로 생성한 스냅샷은 클러스터에 연결된 KMS 키를 사용하기 위해 기본적으로 암호화됩니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.

  • 스냅샷 복사는 기본적으로 소스 스냅샷과 연결된 고객 관리형 키를 사용합니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.

참고

  • 선택한 Amazon S3 버킷으로 스냅샷을 내보낼 때 고객 관리형 키를 사용할 수 없습니다. 그러나 Amazon S3으로 내보낸 모든 스냅샷은 서버 측 암호화를 사용하여 암호화됩니다. 스냅샷 파일을 새 S3 개체로 복사하고 고객 관리형 KMS 키를 사용하여 암호화하거나, KMS 키를 사용하여 기본 암호화로 설정된 다른 S3 버킷에 파일을 복사하거나, 파일 자체에서 암호화 옵션을 변경할 수 있습니다.

  • 또한 고객 관리형 키를 사용하여 암호화에 고객 관리형 키를 사용하지 않는 수동으로 생성한 스냅샷을 암호화할 수도 있습니다. 이 옵션을 사용하면 원래 클러스터에서 데이터가 암호화되지 않더라도 KMS 키를 사용하여 Amazon S3에 저장된 스냅샷 파일이 암호화됩니다.

스냅샷에서 복원하면 새 클러스터를 생성할 때 사용할 수 있는 암호화 옵션과 유사한 암호화 옵션을 선택할 수 있습니다.

  • 클러스터를 암호화하는 데 사용한 키에 대해 키를 삭제하거나 키를 비활성화하고 그랜트를 취소하면 클러스터를 복구할 수 없게 됩니다. 즉, 하드웨어 장애 후 이를 수정하거나 복구할 수 없습니다. AWS KMS에서는 최소 7일 이상의 대기 기간이 지난 후에만 루트 키를 삭제합니다. 키를 삭제한 후 다른 고객 관리형 키를 사용하여 보관용 스냅샷을 생성할 수 있습니다.

  • 자동 키 교체 기능은 AWS KMS 루트 키의 속성을 그대로 보존하기 때문에 키가 교체되더라도 MemoryDB 데이터에 대한 액세스 권한에는 아무런 영향도 끼치지 않습니다. 암호화된 MemoryDB 클러스터는 새로운 루트 키를 생성하거나 이전 키에 대한 모든 참조를 업데이트하는 수동 키 교체를 지원하지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 고객 루트 키 교체를 참조하세요.

  • KMS 키를 사용하여 MemoryDB 클러스터를 암호화하려면 클러스터당 1개의 그랜트가 필요합니다. 이 그랜트는 클러스터의 수명 동안 사용됩니다. 또한 스냅샷을 생성하는 동안 스냅샷당 하나의 권한 부여가 사용됩니다. 이 그랜트는 스냅샷이 생성되면사용 중지됩니다.

  • AWS KMS 그랜트 및 제한에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서에서 할당량을 참조하세요.

참고 항목