메뉴
Amazon Elastic Compute Cloud
User Guide for Linux Instances

Amazon EBS Encryption

Amazon EBS 암호화는 EBS 볼륨에 대해 키 관리 인프라를 사용자가 직접 구축, 유지 및 보호할 필요가 없는 간편한 암호화 솔루션을 제공합니다. 암호화된 EBS 볼륨을 만들고 지원되는 인스턴스 유형에 이 볼륨을 연결하면 다음 유형의 데이터가 암호화됩니다.

  • 볼륨 내부에 있는 데이터

  • 볼륨과 인스턴스 사이에서 이동하는 모든 데이터

  • 볼륨에서 생성된 모든 스냅샷

암호화는 EC2 인스턴스를 호스팅하는 서버에서 수행되므로 EC2 인스턴스에서 EBS 스토리지로 전송되는 데이터가 암호화됩니다.

Amazon EBS 암호화에서는 암호화된 볼륨을 생성하거나 이런 볼륨에서 스냅샷을 생성할 때 AWS Key Management Service(AWS KMS) 고객 마스터 키(CMK)를 사용합니다. 한 리전에서 암호화된 볼륨을 처음 생성할 때 사용자의 기본 CMK가 자동으로 생성됩니다. AWS KMS을(를) 사용하여 별도로 생성한 CMK를 선택하는 경우를 제외하고 이 키가 Amazon EBS 암호화에 사용됩니다. CMK를 직접 생성하면 액세스 제어를 정의하기 위해 키를 생성, 교체, 비활성화하고 데이터를 보호하는 데 사용된 암호화 키를 감사하는 등 보다 폭넓은 작업이 가능합니다. 자세한 내용은 AWS Key Management Service Developer Guide 단원을 참조하십시오.

이 기능은 모든 EBS 볼륨 유형(범용 SSD [gp2], 프로비저닝된 IOPS SSD [io1], 처리량에 최적화된 HDD [st1], Cold HDD [sc1], Magnetic [standard])에서 지원됩니다. 암호화된 볼륨과 암호화되지 않은 볼륨의 IOPS 기대 성능은 동일하며 지연 시간에 대한 영향은 미미합니다. 암호화된 볼륨에 액세스하는 방법은 암호화되지 않은 볼륨에 액세스하는 경우와 동일합니다. 암호화 및 암호 해독은 중단 없이 처리되므로 사용자, EC2 인스턴스 또는 애플리케이션에서 별도로 조치할 부분은 없습니다.

암호화된 볼륨으로 생성한 스냅샷은 자동으로 암호화됩니다. 암호화된 스냅샷으로 생성한 볼륨도 자동으로 암호화됩니다. 암호화된 볼륨의 퍼블릭 스냅샷은 지원되지 않지만, 다음 단계를 수행하면 암호화된 스냅샷을 특정 계정과 공유할 수 있습니다.

  1. 볼륨을 암호화하려면 기본 CMK가 아니라 사용자 지정 CMK를 사용합니다.

  2. 사용자 지정 CMK에 대해 특정 계정 액세스 권한을 제공합니다.

  3. 스냅샷을 생성합니다.

  4. 스냅샷에 대한 특정 계정 액세스 권한을 제공합니다.

자세한 내용은 Amazon EBS 스냅샷 공유 단원을 참조하십시오.

Amazon EBS 암호화 기능은 특정 인스턴스 유형에만 사용할 수 있습니다. 지원되는 인스턴스 유형에는 암호화된 볼륨과 암호화되지 않은 볼륨을 모두 연결할 수 있습니다. 자세한 내용은 지원되는 인스턴스 유형 단원을 참조하십시오.

암호화 키 관리

Amazon EBS 암호화에서 자동으로 키를 관리해 줍니다. 새로 생성되는 각 볼륨은 고유한 256비트 키로 암호화됩니다. 해당 볼륨의 모든 스냅샷 및 이러한 스냅샷으로 이후에 생성하는 모든 볼륨도 해당 키를 공유합니다. 이러한 키는 강력한 논리적, 물리적 보안 제어를 구현하여 무단 액세스를 방지하는 AWS 키 관리 인프라를 통해 보호됩니다. 데이터 및 이와 연결된 키는 산업 표준 AES-256 알고리즘을 사용하여 암호화됩니다.

기존 스냅샷이나 암호화된 볼륨과 연동되어 있는 CMK는 변경할 수 없습니다. 하지만 스냅샷 복사 작업(암호화되지 않은 스냅샷 사본을 암호화하는 작업 포함) 중에 다른 CMK와 연동시킬 수는 있습니다. 복사된 스냅샷은 새로운 CMK를 사용합니다.

AWS 전체 키 관리 인프라는 NIST(National Institute of Standards and Technology) 800-57의 권장 지침을 준수하며 FIPS(Federal Information Processing Standards) 140-2의 승인을 획득한 암호화 알고리즘을 사용합니다.

각 AWS 계정의 고유 마스터 키는 데이터와 분리된 별도의 시스템에 저장됩니다. 이 시스템에는 강력한 물리적, 논리적 보안 통제 수단이 적용됩니다. 암호화된 각 볼륨과 후속 스냅샷은 고유한 볼륨 암호화 키로 암호화되고, 이 키는 리전별 보안 마스터 키로 암호화됩니다. 볼륨 암호화 키는 EC2 인스턴스를 호스팅하는 서버의 메모리 상에서 사용되며 디스크에 일반 텍스트로 저장되지 않습니다.

지원되는 인스턴스 유형

아래 표에서는 Amazon EBS 암호화 기능을 사용할 수 있는 인스턴스 유형을 보여 줍니다. 이러한 인스턴스 유형은 인텔 AES-NI(AES New Instructions) 명령 세트를 활용하여 더욱 빠르고 간편하게 데이터를 보호합니다. 이러한 인스턴스 유형에는 암호화된 볼륨과 암호화되지 않은 볼륨을 동시에 연결할 수 있습니다.

인스턴스 패밀리 Amazon EBS 암호화 지원 인스턴스 유형

범용

m3.medium | m3.large | m3.xlarge | m3.2xlarge | m4.large | m4.xlarge | m4.2xlarge | m4.4xlarge | m4.10xlarge | m4.16xlarge | t2.nano | t2.micro | t2.small | t2.medium | t2.large | t2.xlarge | t2.2xlarge

컴퓨팅 최적화

c4.large | c4.xlarge | c4.2xlarge | c4.4xlarge | c4.8xlarge | c3.large | c3.xlarge | c3.2xlarge | c3.4xlarge | c3.8xlarge

메모리 최적화

cr1.8xlarge | r3.large | r3.xlarge | r3.2xlarge | r3.4xlarge | r3.8xlarge | r4.large | r4.xlarge | r4.2xlarge | r4.4xlarge | r4.8xlarge | r4.16xlarge | x1.16xlarge | x1.32xlarge | x1e.32xlarge

스토리지 최적화

d2.xlarge | d2.2xlarge | d2.4xlarge | d2.8xlarge | i2.xlarge | i2.2xlarge | i2.4xlarge | i2.8xlarge | i3.large | i3.xlarge | i3.2xlarge | i3.4xlarge | i3.8xlarge | i3.16xlarge

액셀러레이티드 컴퓨팅

f1.2xlarge | f1.16xlarge | g2.2xlarge | g2.8xlarge | g3.4xlarge | g3.8xlarge | g3.16xlarge | p2.xlarge | p2.8xlarge | p2.16xlarge

이러한 인스턴스 유형에 대한 자세한 내용은 인스턴스 유형 세부 정보 단원을 참조하십시오.

데이터의 암호화 상태 변경

기존의 암호화되지 않은 볼륨을 암호화하거나 암호화된 볼륨에서 암호화를 제거하는 직접적인 방법은 없습니다. 그러나 암호화된 볼륨과 암호화되지 않은 볼륨 간에 데이터를 마이그레이션할 수는 있습니다. 스냅샷 복사 중에 새 암호화 상태를 적용할 수도 있습니다.

  • 암호화되지 않은 볼륨의 암호화되지 않은 스냅샷을 복사하는 동안 복사본을 암호화할 수 있습니다. 이 암호화된 복사본에서 복원된 볼륨도 암호화됩니다.

  • 암호화된 볼륨의 암호화된 스냅샷을 복사하는 동안 다른 CMK를 사용하여 복사본을 다시 암호화할 수 있습니다. 새로 적용된 CMK를 사용하여 암호화된 복사본에서 복원된 볼륨에만 액세스할 수 있습니다.

암호화된 스냅샷에서 암호화를 제거할 수 없습니다.

암호화된 볼륨과 암호화되지 않은 볼륨 간 데이터 마이그레이션

암호화된 볼륨과 암호화되지 않은 볼륨에 모두 액세스할 수 있는 경우, 둘 사이에서 자유롭게 데이터를 전송할 수 있습니다. EC2는 암호화 또는 복호화 작업을 투명하게 수행합니다.

암호화된 볼륨과 암호화되지 않은 볼륨 간에 데이터를 마이그레이션하려면 다음을 수행합니다.

  1. Amazon EBS 볼륨 생성의 절차에 따라 대상 볼륨(필요에 따라 암호화 또는 비암호화)을 생성합니다.

  2. 마이그레이션할 데이터를 호스팅하는 인스턴스에 대상 볼륨을 연결합니다. 자세한 내용은 Amazon EBS 볼륨을 인스턴스에 연결 단원을 참조하십시오.

  3. Amazon EBS 볼륨을 사용할 수 있도록 만들기의 절차에 따라 대상 볼륨을 사용 가능하도록 만듭니다. Linux 인스턴스의 경우 /mnt/destination에 마운트 지점을 생성하고 해당 위치에 대상 볼륨을 마운트할 수 있습니다.

  4. 소스 디렉터리에서 대상 볼륨으로 데이터를 복사합니다. 이를 위해 대량 복사 유틸리티를 사용하는 것이 가장 편리할 수 있습니다.

    Linux

    다음과 같이 rsync 명령을 사용하여 소스에서 대상 볼륨으로 데이터를 복사합니다. 이 예제에서 소스 데이터는 /mnt/source에 있고 대상 볼륨은 /mnt/destination에 마운트되어 있습니다.

    Copy
    [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

    Windows

    명령 프롬프트에서 robocopy 명령을 사용하여 원본 볼륨에서 대상 볼륨으로 데이터를 복사합니다. 이 예제에서 소스 데이터는 D:\에 있고 대상 볼륨은 E:\에 마운트되어 있습니다.

    Copy
    PS C:\> robocopy D:\ E:\ /e /copyall /eta

스냅샷 복사 중 암호화 적용

스냅샷을 복사하는 동안 암호화를 적용할 수 있기 때문에, 데이터를 암호화하는 다른 경로는 다음 절차와 같습니다.

스냅샷 복사를 통해 볼륨의 데이터를 암호화하려면

  1. 암호화하지 않은 EBS 볼륨의 스냅샷을 생성합니다. 이 스냅샷도 암호화되지 않습니다.

  2. 암호화 파라미터를 적용하여 스냅샷을 복사합니다. 대상 스냅샷이 암호화됩니다

  3. 암호화한 스냅샷을 마찬가지로 암호화한 새 볼륨으로 복원합니다.

자세한 내용은 Amazon EBS 스냅샷 복사 단원을 참조하십시오.

새 CMK로 스냅샷 재암호화

복사 중에 스냅샷을 암호화하는 기능을 사용하여 자신이 소유하고 있는 이미 암호화된 스냅샷을 다시 암호화할 수도 있습니다. 이 작업에서는 자신이 제공하는 새 CMK를 사용하여 스냅샷의 일반 텍스트가 암호화됩니다. 새 CMK를 사용하여 결과 복사본에서 복원된 볼륨에만 액세스할 수 있습니다.

관련된 시나리오에서 자신과 공유된 스냅샷을 다시 암호화하도록 선택할 수도 있습니다. 암호화된 공유 스냅샷에서 볼륨을 복원하려면, 먼저 그 볼륨의 자체 복사본을 만들어야 합니다. 기본적으로 이 복사본은 스냅샷의 소유자가 공유하는 키로 암호화됩니다. 하지만 복사 프로세스 중에 자신이 관리하는 다른 키로 스냅샷을 다시 암호화하는 게 좋습니다. 이를 통해 원래 키가 손상되거나 소유자가 어떤 이유로든 키를 취소하는 경우 볼륨에 대한 액세스 권한을 보호할 수 있습니다.

다음 절차에서는 자신이 소유한 스냅샷을 다시 암호화하는 방법을 설명합니다.

콘솔을 이용하여 스냅샷을 다시 암호화하려면

  1. 사용자 지정 CMK를 생성합니다. 자세한 내용은 AWS Key Management Service Developer Guide 단원을 참조하십시오.

  2. (이 예제의 경우) 기본 CMK로 암호화된 EBS 볼륨을 만듭니다.

  3. 암호화된 EBS 볼륨의 스냅샷을 생성합니다. 이 스냅샷은 기본 CMK로도 암호화됩니다.

  4. [Snapshots] 페이지에서 [Actions]와 [Copy]를 선택합니다.

  5. [Copy Snapshot] 창에서 [Master Key] 필드에 사용자 지정 CMK에 대한 완전한 ARN을 (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef 형식으로) 입력하거나 메뉴에서 선택합니다. [Copy]를 선택합니다.

스냅샷의 결과 복사본과 이 복사본에서 복원되는 모든 볼륨은 사용자 지정 CMK로 암호화됩니다.

다음 절차에서는 암호화된 공유 스냅샷을 복사할 때 이 스냅샷을 다시 암호화하는 방법을 설명합니다. 이렇게 하려면 암호화된 공유 스냅샷과 그 스냅샷을 암호화한 CMK에 대한 액세스 권한이 모두 필요합니다.

콘솔을 이용하여 공유 스냅샷을 복사하고 다시 암호화하려면

  1. [Snapshots] 페이지에서 암호화된 공유 스냅샷을 선택하고 [Actions]와 [Copy]를 선택합니다.

  2. [Copy Snapshot] 창에서 [Master Key] 필드에 자신이 소유한 CMK에 대한 완전한 ARN을 (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef 형식으로) 입력하거나 메뉴에서 선택합니다. [Copy]를 선택합니다.

스냅샷의 결과 복사본과 이 복사본에서 복원되는 모든 볼륨은 자신이 제공한 CMK로 암호화됩니다. 원본 공유 스냅샷, 암호화 상태 또는 공유 CMK에 대한 변경 사항은 복사본에 아무런 영향도 미치지 않습니다.

자세한 내용은 Amazon EBS 스냅샷 복사 단원을 참조하십시오.

Amazon EBS 암호화 및 CloudWatch 이벤트

Amazon EBS는 특정 암호화 관련 시나리오에 Amazon CloudWatch Events를 지원합니다. 자세한 내용은 Amazon EBS용 Amazon CloudWatch Events 단원을 참조하십시오.