기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
암호화를 위한 고객 관리형 키 사용
사용자 환경의 데이터 암호화를 위해 고객 관리형 키를 옵션으로 제공할 수 있습니다. 워크플로에 대한 리소스를 저장하는 Amazon KMS 환경 인스턴스 및 Amazon S3 버킷과 동일한 리전에서 고객 관리형 MWAA 키를 생성해야 합니다. 지정한 고객 관리형 KMS 키가 환경을 구성하는 데 사용하는 계정과 다른 계정에 있는 경우 교차 계정 액세스용 ARN를 사용하여 키를 지정해야 합니다. 키 생성에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드의 키 생성을 참조하십시오.
지원되는 항목
| AWS KMS 기능 | 지원 |
|---|---|
|
예 |
|
|
아니요 |
|
|
아니요 |
암호화를 위한 권한 사용
이 주제에서는 Amazon MWAA가 데이터를 암호화하고 복호화하기 위해 사용자를 대신하여 고객 관리형 KMS 키에 연결하는 권한 부여에 대해 설명합니다.
작동 방법
고객 관리형 KMS 키에 AWS KMS 대해에서 지원하는 두 가지 리소스 기반 액세스 제어 메커니즘은 키 정책 및 권한 부여입니다.
키 정책은 권한이 대부분 정적이고 동기 서비스 모드에 이용되는 경우에 사용합니다. 권한 부여는 서비스에서 자체 또는 다른 계정에 대해 서로 다른 액세스 권한을 정의해야 하는 경우와 같이 보다 동적이고 세분화된 권한이 필요한 경우에 사용됩니다.
Amazon MWAA는를 사용하고 고객 관리형 KMS 키에 4개의 권한 부여 정책을 연결합니다. 이는 환경이 CloudWatch 로그, Amazon SQS 대기열, Aurora PostgreSQL 데이터베이스 데이터베이스, Secrets Manager 보안 암호, Amazon S3 버킷 및 DynamoDB 테이블에서 저장된 데이터를 암호화하는 데 필요한 세분화된 권한 때문입니다.
Amazon MWAA 환경을 생성하고 고객 관리KMS 키를 지정하면 Amazon MWAA는 권한 부여 정책을 고객 관리형 KMS 키에 연결합니다. 이러한 정책을 통해 Amazon MWAA in은 고객 관리KMS 키를 airflow. 사용하여 Amazon MWAA가 소유한 리소스를 사용자를 대신하여 암호화할 수 있습니다.region}.amazonaws.com
Amazon MWAA는 사용자를 대신하여 지정된 KMS 키에 추가 권한을 생성하고 연결합니다. 여기에는 환경을 삭제하는 경우 권한 부여를 사용 중지하고, Client-Side Encryption(CSE)에 고객 관리형 KMS 키를 사용하고, Secrets Manager에서 고객 관리형 키로 보호되는 보안 암호에 액세스해야 하는 AWS Fargate 실행 역할에 대한 정책이 포함됩니다.
권한 부여 정책
Amazon MWAA는 고객 관리KMS 키에 사용자를 대신하여 다음과 같은 리소스 기반 정책 권한 부여를 추가합니다. 이러한 정책을 통해 권한 부여자와 보안 주체(Amazon MWAA)는 정책에 정의된 작업을 수행할 수 있습니다.
권한 1: 데이터 플레인 리소스를 생성하는 데 사용
{ "Name": "mwaa-grant-for-env-mgmt-role-environment name", "GranteePrincipal": "airflow.region.amazonaws.com", "RetiringPrincipal": "airflow.region.amazonaws.com", "Operations": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey", "kms:RetireGrant" ] }
권한 2: ControllerLambdaExecutionRole 액세스에 사용
{ "Name": "mwaa-grant-for-lambda-exec-environment name", "GranteePrincipal": "airflow.region.amazonaws.com", "RetiringPrincipal": "airflow.region.amazonaws.com", "Operations": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:RetireGrant" ] }
권한 3: CfnManagementLambdaExecutionRole 액세스에 사용
{ "Name": " mwaa-grant-for-cfn-mgmt-environment name", "GranteePrincipal": "airflow.region.amazonaws.com", "RetiringPrincipal": "airflow.region.amazonaws.com", "Operations": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ] }
권한 4: 백엔드 암호에 액세스하기 위한 Fargate 실행 역할에 사용
{ "Name": "mwaa-fargate-access-for-environment name", "GranteePrincipal": "airflow.region.amazonaws.com", "RetiringPrincipal": "airflow.region.amazonaws.com", "Operations": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey", "kms:RetireGrant" ] }
고객 관리형 키에 대한 키 정책 연결
Amazon KMS에서 자체 고객 관리MWAA 키를 사용하도록 선택한 경우 Amazon MWAA가 데이터를 암호화하는 데 사용할 수 있도록 다음 정책을 키에 연결해야 합니다.
Amazon KMS 환경에 사용한 고객 관리MWAA 키가 아직 CloudWatch에서 작동하도록 구성되어 있지 않은 경우 encrypted CloudWatch Logs를 허용하도록 키 정책을 업데이트해야 합니다. 자세한 내용은 AWS Key Management Service 서비스를 사용하여 in CloudWatch 에서 로그 데이터 암호화를 참조하세요.
다음 예제는 CloudWatch Logs의 키 정책을 나타냅니다. 리전에 대해 제공된 샘플 값을 대체합니다.
{ "Effect": "Allow", "Principal": { "Service": "logs.us-west-2.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*", "Condition": { "ArnLike": { "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-west-2:*:*" } } }
