메뉴
Amazon Elastic Compute Cloud
User Guide for Linux Instances

암호화된 스냅샷이 있는 AMI

Amazon EBS 스냅샷의 지원을 받는 AMI에서는 Amazon EBS 암호화를 활용할 수 있습니다. 데이터 볼륨과 루트 볼륨 모두의 스냅샷을 암호화하고 AMI에 연결할 수 있습니다.

암호화된 볼륨이 있는 EC2 인스턴스는 다른 인스턴스와 동일한 방법으로 AMI에서 시작됩니다.

CopyImage 작업을 사용하면 암호화되지 않은 스냅샷이 있는 AMI에서 암호화된 스냅샷이 있는 AMI를 생성할 수 있습니다. 기본적으로 CopyImage에서는 대상 복사본을 생성할 때 원본 스냅샷의 암호화 상태를 유지합니다. 복사 프로세스의 파라미터를 구성하여 대상 스냅샷을 암호화할 수도 있습니다.

기본 AWS Key Management Service 고객 마스터 키(CMK) 또는 지정한 사용자 지정 키를 사용하여 스냅샷을 암호화할 수 있습니다. 어느 경우든 선택한 키에 대한 사용 권한이 있어야 합니다. 암호화된 스냅샷이 있는 AMI를 사용하는 경우 CopyImage 작업 중에 다른 암호화 키를 사용하여 다시 암호화할 수 있습니다. CopyImage에서는 한 번에 하나의 키만 수락하고 루트 또는 데이터에 상관없이 이미지의 모든 스냅샷을 해당 키로 암호화합니다. 여러 키로 암호화된 스냅샷을 포함하는 AMI를 수동으로 생성할 수 있습니다.

암호화된 스냅샷이 있는 AMI 생성에 대한 지원을 받으려면 Amazon EC2 콘솔, Amazon EC2 API 또는 AWS CLI를 이용합니다.

CopyImage의 암호화 파라미터는 AWS KMS를 사용할 수 있는 모든 리전에서 사용 가능합니다.

암호화된 EBS 스냅샷을 포함하는 AMI 시나리오

AMI를 복사하고 동시에 AWS Management Console 또는 명령줄을 사용하여 연결된 EBS 스냅샷을 암호화할 수 있습니다.

암호화된 데이터 스냅샷이 있는 AMI 복사

이 시나리오에서 EBS 지원 AMI에는 1단계에 표시된 것처럼 암호화되지 않은 루트 스냅샷과 암호화된 데이터 스냅샷이 있습니다. CopyImage 작업은 2단계에서 암호화 파라미터를 사용하지 않고 호출됩니다. 따라서 각 스냅샷의 암호화 상태가 유지되므로 3단계의 대상 AMI 또한 암호화되지 않은 루트 스냅샷과 암호화된 데이터 스냅샷에 의해 지원됩니다. 스냅샷에 동일한 데이터가 포함되어 있지만 두 스냅샷은 서로 구분되므로 두 AMI 모두의 스냅샷에 대한 스토리지 비용과 각 AMI에서 시작하는 인스턴스에 대한 비용이 발생합니다.

 암호화된 데이터 스냅샷이 있는 AMI 복사

단순 복사(예: Amazon EC2 콘솔 또는 명령줄을 사용하여 복사)를 수행할 수 있습니다. 자세한 내용은 AMI 복사 단원을 참조하십시오.

암호화된 루트 스냅샷에서 지원되는 AMI 복사

이 시나리오에서 Amazon EBS 지원 AMI에는 1단계에 표시된 것처럼 암호화된 루트 스냅샷이 있습니다. CopyImage 작업은 2단계에서 암호화 파라미터를 사용하지 않고 호출됩니다. 따라서 스냅샷의 암호화 상태가 유지되므로 3단계의 대상 AMI 또한 암호화된 루트 스냅샷에 의해 지원됩니다. 루트 스냅샷에 동일한 시스템 데이터가 포함되어 있지만 두 스냅샷은 서로 구분되므로 두 AMI 모두의 스냅샷에 대한 스토리지 비용과, 각 AMI에서 시작하는 인스턴스에 대한 비용이 발생합니다.

 암호화된 루트 스냅샷에서 지원되는 AMI 복사

단순 복사(예: Amazon EC2 콘솔 또는 명령줄을 사용하여 복사)를 수행할 수 있습니다. 자세한 내용은 AMI 복사 단원을 참조하십시오.

암호화되지 않은 AMI에서 암호화된 루트 스냅샷이 있는 AMI 만들기

이 시나리오에서 Amazon EBS 지원 AMI에는 1단계에 표시된 암호화되지 않은 루트 스냅샷이 있고, 3단계에 표시된 암호화된 루트 스냅샷을 사용하여 AMI가 생성됩니다. 2단계의 CopyImage 작업은 선택한 CMK를 포함하여 두 암호화 파라미터를 사용하여 호출됩니다. 따라서 루트 스냅샷의 암호화 상태가 변경되므로, 대상 AMI는 원본 스냅샷과 동일한 데이터를 포함하는 루트 스냅샷에 의해 지원되지만 지정된 키를 사용하여 암호화됩니다. 두 AMI 모두의 스냅샷에 대한 스토리지 비용과 각 AMI에서 시작되는 인스턴스에 대한 비용이 발생합니다.

 암호화되지 않은 AMI에서 AMI 생성

복사 및 암호화 작업(예: Amazon EC2 콘솔 또는 명령줄을 사용하여 작업)을 수행할 수 있습니다. 자세한 내용은 AMI 복사 단원을 참조하십시오.

실행 중인 인스턴스에서 암호화된 루트 스냅샷이 있는 AMI 만들기

이 시나리오에서는 실행 중인 EC2 인스턴스에서 AMI를 만듭니다. 1단계의 실행 중인 인스턴스에는 암호화된 루트 볼륨이 있고 3단계에서 만든 AMI에는 원본 볼륨과 동일한 키로 암호화된 루트 스냅샷이 있습니다. CreateImage 작업은 암호화의 존재 여부에 상관없이 동일하게 동작합니다.

 암호화된 루트 스냅샷이 있는 인스턴스에서 AMI 생성

Amazon EC2 콘솔 또는 명령줄을 사용하여 암호화된 볼륨을 포함하거나 포함하지 않는 실행 중인 Amazon EC2 인스턴스에서 AMI를 만들 수 있습니다. 자세한 내용은 Amazon EBS 지원 Linux AMI 생성 단원을 참조하십시오.

각 암호화된 스냅샷에 대해 고유한 CMK를 사용하여 AMI 만들기

이 시나리오는 키 #1로 암호화된 루트 볼륨 스냅샷에서 지원되는 AMI로 시작하여 키 #2 및 키 #3으로 암호화된 2개의 추가 데이터 볼륨 스냅샷이 연결된 AMI로 끝납니다. CopyImage 작업에서는 여러 암호화 키를 단일 작업에 적용할 수 없습니다. 하지만, 서로 다른 키로 암호화된 여러 볼륨이 연결된 인스턴스에서 AMI를 만들 수 있습니다. 결과 AMI에는 해당 키로 암호화된 스냅샷이 있고 이 새 AMI에서 시작되는 인스턴스에도 해당 키로 암호화된 볼륨이 있습니다.

이 예제 절차 단계는 다음 다이어그램과 일치합니다.

  1. 키 #1로 암호화된 볼륨 #1(루트) 스냅샷에서 지원하는 원본 AMI로 시작합니다.

  2. 원본 AMI에서 EC2 인스턴스를 시작합니다.

  3. 각각 키 #2 및 키 #3으로 암호화된 볼륨 #2(데이터) 및 볼륨 #3(데이터) EBS 볼륨을 만듭니다.

  4. 암호화된 데이터 볼륨을 EC2 인스턴스에 연결합니다.

  5. 이제 EC2 인스턴스에서 각각 다른 키를 사용하는 암호화된 루트 볼륨 1개와 암호화된 데이터 볼륨 2개가 있습니다.

  6. EC2 인스턴스에서 CreateImage 작업을 사용합니다.

  7. 결과 대상 AMI에는 각각 다른 키를 사용하는 세 EBS 볼륨의 암호화된 스냅샷이 포함되어 있습니다.

 고유 CMK가 있는 AMI 생성

Amazon EC2 콘솔 또는 명령줄을 사용하여 이 절차를 수행할 수 있습니다. 자세한 내용은 다음 주제를 참조하십시오.