Snow Family 디바이스 사용을 위한 사전 조건 - AWS Snowball Edge 개발자 안내서
에 가입 AWS 계정관리자 액세스 권한이 있는 사용자 생성환경 정보특수 문자 사용를 사용한 Amazon S3 암호화 AWS KMS서버 측 암호화를 통한 Amazon S3 암호화Snow Family 디바이스에서 가져오기 및 내보내기 작업에 Amazon S3 어댑터를 사용하기 위한 사전 조건Amazon S3 compatible storage on Snow Family devices를 사용하기 위한 사전 조건Snow Family 디바이스에서 컴퓨팅 인스턴스 사용을 위한 사전 조건

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Snow Family 디바이스 사용을 위한 사전 조건

Snow Family 디바이스를 시작하기 전에 AWS 계정이 없는 경우 계정에 가입해야 합니다. 또한 Snow Family 디바이스와 함께 사용할 데이터 및 컴퓨팅 인스턴스를 구성하는 방법을 배우는 것이 좋습니다.

AWS Snowball Edge는 리전별 서비스입니다. 따라서 작업을 계획하기 전에는 해당 서비스가 AWS 리전에서 사용 가능한지 확인하세요. 위치 및 Amazon S3 버킷은 디바이스 주문 능력에 영향을 미치므로 동일 AWS 리전 또는 동일 국가 내에 있어야 합니다.

로컬 엣지 컴퓨팅 및 스토리지 작업에 최적화된 컴퓨팅 디바이스가 있는 Amazon S3 compatible storage on Snow Family devices를 사용하려면 주문 시 디바이스 또는 디바이스에 S3 용량을 프로비저닝해야 합니다. Amazon S3 compatible storage on Snow Family devices는 로컬 버킷 관리를 지원하므로 디바이스를 받은 후에는 디바이스 또는 클러스터에 S3 버킷을 생성할 수 있습니다.

주문 프로세스의 일부로 AWS Identity and Access Management (IAM) 역할과 AWS Key Management Service (AWS KMS) 키를 생성합니다. KMS 키는 작업의 잠금 해제 코드를 암호화하는 데 사용됩니다. IAM 역할 및 KMS 키 생성에 대한 자세한 내용은 Snow Family 디바이스를 주문하는 작업 생성을 참조하세요.

참고

아시아 태평양(뭄바이) AWS 리전 서비스는 Amazon on Internet Services Private Limited()에서 제공합니다AISPL. 아시아 태평양(뭄바이)에서 Amazon Web Services에 가입하는 방법에 대한 자세한 내용은 에 가입을 AISPL AWS 리전참조하세요.

에 가입 AWS 계정

가 없는 경우 다음 단계를 AWS 계정완료하여 를 생성합니다.

에 가입하려면 AWS 계정

  1. https://portal.aws.amazon.com/billing/가입 을 엽니다.

  2. 온라인 지시 사항을 따릅니다.

    등록 절차 중 전화를 받고 전화 키패드로 확인 코드를 입력하는 과정이 있습니다.

    에 가입하면 AWS 계정AWS 계정 루트 사용자가 생성됩니다. 루트 사용자에게는 계정의 모든 AWS 서비스 및 리소스에 액세스할 권한이 있습니다. 보안 모범 사례는 사용자에게 관리 액세스 권한을 할당하고, 루트 사용자만 사용하여 루트 사용자 액세스 권한이 필요한 작업을 수행하는 것입니다.

AWS 는 가입 프로세스가 완료된 후 확인 이메일을 보냅니다. 언제든지 https://aws.amazon.com/로 이동하여 내 계정 을 선택하여 현재 계정 활동을 보고 계정을 관리할 수 있습니다.

관리자 액세스 권한이 있는 사용자 생성

에 가입한 후 일상적인 작업에 루트 사용자를 사용하지 않도록 AWS 계정를 보호하고, 를 AWS 계정 루트 사용자활성화하고 AWS IAM Identity Center, 관리 사용자를 생성합니다.

보안 AWS 계정 루트 사용자

  1. 루트 사용자를 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자AWS Management Console로 에 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.

    루트 사용자를 사용하여 로그인하는 데 도움이 필요하면 AWS 로그인 User Guide루트 사용자로 로그인을 참조하십시오.

  2. 루트 사용자에 대해 다중 인증(MFA)을 켭니다.

    지침은 IAM 사용 설명서AWS 계정 루트 사용자(콘솔)에 대한 가상 MFA 디바이스 활성화를 참조하세요.

관리자 액세스 권한이 있는 사용자 생성

  1. IAM Identity Center를 활성화합니다.

    지침은 AWS IAM Identity Center 사용 설명서AWS IAM Identity Center설정을 참조하세요.

  2. IAM Identity Center에서 사용자에게 관리 액세스 권한을 부여합니다.

    를 자격 증명 소스 IAM Identity Center 디렉터리 로 사용하는 방법에 대한 자습서는 AWS IAM Identity Center 사용 설명서 기본값으로 사용자 액세스 구성을 IAM Identity Center 디렉터리 참조하세요.

관리 액세스 권한이 있는 사용자로 로그인

  • IAM Identity Center 사용자로 로그인하려면 IAM Identity Center 사용자를 생성할 때 이메일 주소로 전송URL된 로그인을 사용합니다.

    IAM Identity Center 사용자를 사용하여 로그인하는 방법에 대한 자세한 내용은 AWS 로그인 사용 설명서의 AWS 액세스 포털에 로그인을 참조하세요.

추가 사용자에게 액세스 권한 할당

  1. IAM Identity Center에서 최소 권한 적용 모범 사례를 따르는 권한 세트를 생성합니다.

    지침은AWS IAM Identity Center 사용 설명서의 Create a permission set를 참조하세요.

  2. 사용자를 그룹에 할당하고, 그룹에 Single Sign-On 액세스 권한을 할당합니다.

    지침은AWS IAM Identity Center 사용 설명서의 Add groups를 참조하세요.

환경 정보

데이터 세트와 로컬 환경 설정 방법을 이해하면 데이터 전송을 완료하는 데 도움이 됩니다. 주문하기 전에 다음 사항을 고려하세요.

어떤 데이터를 전송하고 있나요?

많은 수의 소용량 파일은 AWS Snowball Edge에서 제대로 전송하기 어렵습니다. 이는 Snowball Edge가 각 개별 객체를 암호화하기 때문입니다. 소용량 파일에는 크기가 1MB 미만인 파일이 포함됩니다. AWS Snowball Edge 디바이스로 전송하기 전에 압축하는 것이 좋습니다. 각 디렉터리 내 파일이나 디렉터리를 500,000개 이하로 유지하는 것도 좋습니다.

전송 중에 데이터에 액세스할 수 있습니까?

정적 데이터 세트를 보유하는 것이 중요합니다. 즉 전송 중에 데이터에 액세스하는 사용자나 시스템이 없어야 합니다. 그렇지 않으면 체크섬 불일치로 인해 파일 전송이 실패할 수 있습니다. 파일은 전송되지 않으며 Failed로 표시됩니다.

데이터 손상을 방지하려면 데이터를 전송하는 동안 AWS Snowball Edge 디바이스를 연결 해제하거나 네트워크 설정을 변경하지 마세요. 파일은 디바이스에 기록되는 동안 정적 상태에 있어야 합니다. 파일이 디바이스에 쓰여지는 동안 수정된 파일은 읽기/쓰기 충돌을 일으킬 수 있습니다.

네트워크가 AWS Snowball 데이터 전송을 지원하나요?

Snowball Edge는 RJ45, SFP+ 또는 QSFP+ 네트워킹 어댑터를 지원합니다. 스위치가 기가비트 스위치인지 확인하세요. 스위치 브랜드에 따라 기가비트 또는 10/100/1000으로 표시될 수 있습니다. Snowball Edge 디바이스는 메가비트 스위치 또는 10/100 스위치를 지원하지 않습니다.

특수 문자가 포함된 파일 이름 사용

객체 이름에 특수 문자가 포함된 경우 오류가 발생할 수 있다는 점에 유의해야 합니다. Amazon S3에서는 특수 문자를 허용하지만 다음 문자는 사용하지 않는 것이 좋습니다.

  • 백슬래시('\')

  • 왼쪽 중괄호('{')

  • 오른쪽 중괄호('}')

  • 왼쪽 대괄호('[')

  • 오른쪽 대괄호(']')

  • '보다 작음' 기호('<')

  • '보다 큼' 기호('>')

  • 인쇄할 수 없는 ASCII 문자(소수점 128~255자)

  • 캐럿('^')

  • 백분율 문자('%')

  • 억음 악센트 기호('`')

  • 인용 부호

  • 물결표('~')

  • '파운드' 문자('#')

  • 세로 막대/파이프('|')

파일에 객체 이름에 이러한 문자가 하나 이상 있는 경우 객체를 AWS Snowball Edge 디바이스에 복사하기 전에 객체 이름을 변경합니다. 파일 이름에 공백이 있는 Windows 사용자는 개별 객체를 복사하거나 재귀 명령을 실행할 때 주의해야 합니다. 명령에서 이름에 공백이 포함된 객체의 이름은 인용 부호로 묶습니다. 이러한 파일의 예시는 다음과 같습니다.

운영 체제 파일 이름: test file.txt

Windows

“C:\Users\<username>\desktop\test file.txt”

iOS

/Users/<username>/test\ file.txt

Linux

/home/<username>/test\ file.txt
참고

객체 메타데이터 중 객체 이름과 크기만이 유일하게 전송됩니다.

를 사용한 Amazon S3 암호화 AWS KMS

기본 AWS 관리형 또는 고객 관리형 암호화 키를 사용하여 데이터를 가져오거나 내보낼 때 데이터를 보호할 수 있습니다.

AWS KMS 관리형 키와 함께 Amazon S3 기본 버킷 암호화 사용

를 사용하여 AWS 관리형 암호화를 활성화하려면 AWS KMS

  1. 에서 Amazon S3 콘솔을 엽니다https://console.aws.amazon.com/s3/.

  2. 암호화할 Amazon S3 버킷을 선택합니다.

  3. 오른쪽에 나타나는 마법사에서 속성을 선택합니다.

  4. 기본 암호화 상자에서 비활성화됨(이 옵션은 회색으로 표시됨)을 선택하여 기본 암호화를 활성화합니다.

  5. 암호화 방법으로 AWS-KMS를 선택한 다음 사용하려는 KMS 키를 선택합니다. 이 키는 버킷PUT에 있는 객체를 암호화하는 데 사용됩니다.

  6. 저장(Save)을 선택합니다.

Snowball Edge 작업이 생성된 후 데이터를 가져오기 전에 기존 IAM 역할 정책에 문을 추가합니다. 이 역할은 주문 프로세스 중에 생성됩니다. 작업 유형에 따라 기본 역할은 Snowball-import-s3-only-role 또는 Snowball-export-s3-only-role과 유사한 이름을 갖습니다.

이러한 문의 예시는 다음과 같습니다.

데이터 가져오기

AWS KMS 관리형 키(SSE-KMS)로 서버 측 암호화를 사용하여 가져오기 작업과 연결된 Amazon S3 버킷을 암호화하는 경우 IAM 역할에 다음 문도 추가해야 합니다.

예 Snowball 가져오기 IAM 역할 예
{
    "Effect": "Allow",
    "Action": [
        "kms: GenerateDataKey",
	"kms: Decrypt"
    ],
    "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

데이터 내보내기

AWS KMS 관리형 키와 함께 서버 측 암호화를 사용하여 내보내기 작업과 연결된 Amazon S3 버킷을 암호화하는 경우 IAM 역할에 다음 문도 추가해야 합니다.

예 Snowball 내보내기 IAM 역할
{
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

AWS KMS 고객 키와 함께 S3 기본 버킷 암호화 사용

자체 KMS 키로 기본 Amazon S3 버킷 암호화를 사용하여 가져오고 내보내는 데이터를 보호할 수 있습니다.

데이터 가져오기

를 사용하여 고객 관리형 암호화를 활성화하려면 AWS KMS

  1. 에 로그인 AWS Management Console 하고 /kms 에서 AWS Key Management Service (AWS KMS) 콘솔을 엽니다. https://console.aws.amazon.com

  2. 를 변경하려면 페이지 오른쪽 상단의 리전 선택기를 AWS 리전사용합니다.

  3. 왼쪽 탐색 창에서 고객 관리형 키 를 선택한 다음 사용하려는 버킷과 연결된 KMS 키를 선택합니다.

  4. 키 정책이 아직 확장되지 않은 경우 키 정책을 확장합니다.

  5. 주요 사용자 섹션에서 추가를 선택하고 IAM 역할을 검색합니다. IAM 역할을 선택한 다음 추가를 선택합니다.

  6. 또는 정책 보기로 전환을 선택하여 키 정책 문서를 표시하고 키 정책에 문을 추가할 수 있습니다. 정책의 예시는 다음과 같습니다.

예 AWS KMS 고객 관리형 키에 대한 정책
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/snowball-import-s3-only-role"
    ]
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}

이 정책을 AWS KMS 고객 관리형 키에 추가한 후에는 Snowball 작업과 연결된 IAM 역할도 업데이트해야 합니다. 기본적으로 해당 역할은 snowball-import-s3-only-role입니다.

예 Snowball 가져오기 IAM 역할의
{
  "Effect": "Allow",
  "Action": [
    "kms: GenerateDataKey",
    "kms: Decrypt"
  ],
  "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

자세한 내용은 에 대한 자격 증명 기반 정책(IAM 정책) 사용 AWS Snowball 단원을 참조하십시오.

사용 중인 KMS 키는 다음과 같습니다.

“Resource”:“arn:aws:kms:region:AccoundID:key/*”

데이터 내보내기

예 AWS KMS 고객 관리형 키에 대한 정책
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": [
      "arn:aws:iam::111122223333:role/snowball-import-s3-only-role"
    ]
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*"
}

이 정책을 AWS KMS 고객 관리형 키에 추가한 후에는 Snowball 작업과 연결된 IAM 역할도 업데이트해야 합니다. 기본적으로 해당 역할은 다음과 같습니다.

snowball-export-s3-only-role

예 Snowball 내보내기 IAM 역할의
{
  "Effect": "Allow",
  "Action": [
    "kms: GenerateDataKey",
    "kms: Decrypt"
  ],
  "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111"
}

이 정책을 AWS KMS 고객 관리형 키에 추가한 후에는 Snowball 작업과 연결된 IAM 역할도 업데이트해야 합니다. 기본적으로 해당 역할은 snowball-export-s3-only-role입니다.

서버 측 암호화를 통한 Amazon S3 암호화

AWS Snowball 는 Amazon S3 관리형 암호화 키(SSE-S3)를 사용한 서버 측 암호화를 지원합니다. 서버 측 암호화는 저장 데이터를 보호하는 것이며, SSE-S3는 Amazon S3에서 저장 데이터를 보호하기 위한 강력한 멀티 팩터 암호화를 갖추고 있습니다. SSE-S3에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3-Managed형 암호화 키(SSE-S3)를 사용하여 서버 측 암호화를 사용하여 데이터 보호를 참조하세요.

참고

현재 AWS Snowball 는 고객 제공 키(-SSEC)를 사용한 서버 측 암호화를 지원하지 않습니다. 그러나 가져온 데이터를 보호하기 위해 해당 SSE 유형을 사용하거나 내보내려는 데이터에 이미 사용할 수 있습니다. 이 경우에는 다음 사항에 유의해야 합니다.

  • 가져오기 - SSE-C를 사용하여 S3로 가져온 객체를 암호화하려면 해당 객체를 해당 버킷 정책의 일부로 SSE-KMS 또는 SSE-S3 암호화가 설정된 다른 버킷에 복사합니다.

  • 내보내기 - SSE-C로 암호화된 객체를 내보내려면 먼저 해당 객체를 서버 측 암호화가 없거나 해당 버킷의 버킷 정책에 SSE-KMS 또는 SSE-S3이 지정된 다른 버킷에 복사합니다.

Snow Family 디바이스에서 가져오기 및 내보내기 작업에 Amazon S3 어댑터를 사용하기 위한 사전 조건

디바이스를 사용하여 온프레미스 데이터 소스에서 클라우드로 또는 클라우드에서 온프레미스 데이터 스토리지로 데이터를 이동할 때 Snow Family 디바이스에서 S3 어댑터를 사용할 수 있습니다. 자세한 내용은 Snow Family 디바이스로 또는 Snow Family 디바이스에서 데이터 마이그레이션을 위해 Amazon S3 어댑터를 사용하여 파일 전송 단원을 참조하십시오.

작업과 연결된 Amazon S3 버킷은 Amazon S3 Standard 스토리지 클래스를 사용해야 합니다. 첫 번째 작업을 생성하기 전에 다음에 유념하세요.

Amazon S3로 데이터를 가져오는 작업의 경우 다음 단계를 따릅니다.

Amazon S3에서 데이터를 내보내기 전에 다음 단계를 따릅니다.

  • 작업을 생성할 때 내보낼 데이터를 이해합니다. 자세한 내용은 Snowball Edge 디바이스로 데이터를 내보낼 때 Amazon S3 객체 키 사용 단원을 참조하십시오.

  • 파일 이름에 콜론(:)이 있는 파일의 경우 이러한 파일을 가져올 내보내기 작업을 생성하기 전에 Amazon S3에서 파일 이름을 변경합니다. 파일 이름에 콜론이 있는 파일은 Microsoft Windows Server로의 내보내기가 실패합니다.

Amazon S3 compatible storage on Snow Family devices를 사용하기 위한 사전 조건

엣지 위치에서 디바이스에 데이터를 저장하고 로컬 컴퓨팅 작업에 데이터를 사용할 때는 Snow Family 디바이스에서 Amazon S3 호환 스토리지를 사용합니다. 로컬 컴퓨팅 작업에 사용되는 데이터는 디바이스가 반환될 때 Amazon S3로 가져오지 않습니다.

Amazon S3 호환 스토리지가 포함된 로컬 컴퓨팅 및 스토리지용 Snow 디바이스를 주문할 때는 다음 사항을 염두에 두세요.

  • 디바이스를 주문할 때 Amazon S3 스토리지 용량을 프로비저닝합니다. 따라서 디바이스를 주문하기 전에 필요한 스토리지를 고려해야 합니다.

  • Snow Family 디바이스를 주문할 필요 없이 받은 후에는 디바이스에서 Amazon S3 버킷을 생성할 수 있습니다.

  • Snow Family 디바이스에서 Amazon S3 호환 스토리지를 사용하려면 ( AWS CLI v2.11.15 이상), Snowball Edge 클라이언트의 최신 버전을 다운로드하거나 컴퓨터에 AWS OpsHub 설치해야 합니다.

  • 디바이스를 받은 후 이 설명서의 Using Amazon S3 compatible storage on Snow Family devices에 따라 Amazon S3 compatible storage on Snow Family devices를 구성, 시작 및 사용합니다.

Snow Family 디바이스에서 컴퓨팅 인스턴스 사용을 위한 사전 조건

sbe1, sbe-c및 인스턴스 유형을 사용하여 AWS Snowball 엣지에서 호스팅되는 Amazon EC2호환 컴퓨팅 sbe-g 인스턴스를 실행할 수 있습니다.

  • sbe1 인스턴스 유형은 Snowball Edge 스토리지 최적화 옵션으로 디바이스에서 작동합니다.

  • sbe-c 인스턴스 유형은 Snowball Edge 컴퓨팅 최적화 옵션으로 디바이스에서 작동합니다.

  • sbe-csbe-g 인스턴스 유형 모두 Snowball Edge Compute Optimized with GPU 옵션이 있는 디바이스에서 작동합니다.

Snowball Edge 디바이스 옵션용으로 지원되는 컴퓨팅 인스턴스 유형은 모두 AWS Snowball Edge 디바이스에서만 사용 가능합니다. 클라우드 기반 인스턴스와 마찬가지로 이러한 인스턴스는 Amazon Machine Images(AMIs)를 시작해야 합니다. Snowball Edge 작업을 생성하기 전에 인스턴스에 AMI 대해 를 선택합니다.

Snowball Edge에서 컴퓨팅 인스턴스를 사용하려면 Snow Family 디바이스를 주문하는 작업을 생성하고 를 지정합니다AMIs. AWS Snowball 관리 콘솔, AWS Command Line Interface (AWS CLI) 또는 중 하나를 사용하여 이 작업을 수행할 수 있습니다 AWS SDKs. 일반적으로, 인스턴스를 사용하기 위해 작업을 생성하기 전에 수행해야 하는 정리 작업 사전 조건이 일부 존재합니다.

컴퓨팅 인스턴스를 사용하는 작업의 경우 작업에 AMIs를 추가하려면 먼저 AMI 에 AWS 계정 가 있어야 하며 지원되는 이미지 유형이어야 합니다. 현재 지원되는 AMIs 는 다음과 같은 운영 체제를 기반으로 합니다.

참고

Ubuntu 16.04 LTS - Xenial(HVM) 이미지는 에서 더 이상 지원되지 AWS Marketplace않지만 Amazon EC2VM Import/Export를 통해 Snowball Edge 디바이스에서 사용할 수 있으며 에서 로컬로 실행됩니다AMIs.

이들 이미지는 AWS Marketplace에서 얻을 수 있습니다.

SSH 를 사용하여 Snowball Edge에서 실행되는 인스턴스에 연결하는 경우 자체 키 페어를 사용하거나 Snowball Edge에서 키 페어를 생성할 수 있습니다. AWS OpsHub 를 사용하여 디바이스에서 키 페어를 생성하려면 섹션을 참조하세요에서 EC2호환 가능한 인스턴스의 키 페어 작업 AWS OpsHub. AWS CLI 를 사용하여 디바이스에서 키 페어를 생성하려면 create-key-pair의 섹션을 참조하세요Snow Family 디바이스에서 지원되는 EC2호환 AWS CLI 명령 목록. 키 페어 및 Amazon Linux 2에 대한 자세한 내용은 Amazon EC2 사용 설명서의 Amazon EC2 키 페어 및 Linux 인스턴스를 참조하세요.

디바이스에서 컴퓨팅 인스턴스를 사용하는 것에 대한 자세한 내용은 Snow Family 디바이스에서 Amazon EC2호환 컴퓨팅 인스턴스 사용 섹션을 참조하세요.