Amazon Elastic Compute Cloud
Linux 인스턴스용 사용 설명서

Amazon EBS Encryption

Amazon EBS 암호화는 자체 키 관리 인프라를 사용자가 직접 구축, 유지 및 보호할 필요가 없는 EBS 볼륨에 대한 간단한 암호화 솔루션을 제공합니다. 암호화된 볼륨 및 스냅샷을 생성할 때 AWS Key Management Service(AWS KMS) 고객 마스터 키(CMK)를 사용합니다. 자세한 내용은 AWS Key Management Service Developer Guide고객 마스터 키(CMK)를 참조하십시오.

암호화된 EBS 볼륨을 만들고 지원되는 인스턴스 유형에 이 볼륨을 연결하면 다음 유형의 데이터가 암호화됩니다.

  • 볼륨 내부에 있는 데이터

  • 볼륨과 인스턴스 사이에서 이동하는 모든 데이터

  • 볼륨에서 생성된 모든 스냅샷

  • 그런 스냅샷에서 생성된 모든 볼륨

암호화 작업은 EC2 인스턴스를 호스팅하는 서버에서 진행되므로, 인스턴스와 인스턴스에 연결된 EBS 스토리지 간 유휴 데이터 및 전송 중 데이터의 보안을 모두 보장합니다.

EC2 인스턴스의 부팅 및 데이터 볼륨을 모두 암호화할 수 있습니다.

암호화는 모든 EBS 볼륨 유형에서 지원됩니다(범용 SSD [gp2], 프로비저닝된 IOPS SSD [io1], 처리량에 최적화된 HDD [st1], Cold HDD [sc1], Magnetic [standard]). 암호화된 볼륨에서는 지연 시간에 대한 영향을 최소화한 채 암호화되지 않은 볼륨과 동일한 IOPS 성능을 기대할 수 있습니다. 암호화되지 않은 볼륨에 액세스하는 것과 동일한 방법으로 암호화된 볼륨에 액세스할 수 있습니다. 암호화 및 암호 해독은 중단 없이 처리되므로 사용자나 사용자의 애플리케이션에서 별도로 조치할 부분은 없습니다.

Amazon EBS 암호화 기능은 특정 인스턴스 유형에만 사용할 수 있습니다. 지원되는 인스턴스 유형에는 암호화된 볼륨과 암호화되지 않은 볼륨을 모두 연결할 수 있습니다. 자세한 내용은 지원되는 인스턴스 유형 단원을 참조하십시오.

암호화된 볼륨의 퍼블릭 스냅샷은 지원하지 않지만 암호화된 스냅샷을 특정 계정과 공유할 수는 있습니다. 암호화된 스냅샷 공유에 대한 자세한 정보는 Amazon EBS 스냅샷 공유를 참조하십시오.

암호화 기본 제공

사용자의 AWS 계정을 구성하여 EBS 볼륨 및 스냅샷의 암호화를 적용할 수 있습니다. 암호화 기본 제공을 활성화하면 다음과 같은 효과가 있습니다.

  • AWS 기능은 시작 시 새로운 EBS 볼륨을 암호화합니다.

  • AWS 기능은 암화화되지 않은 스냅샷의 새로운 사본을 암호화합니다.

암호화 기본 제공은 리전별 설정입니다. 특정 기능에 대해 이 기능을 활성화하면 해당 리전의 개별 볼륨 또는 스냅샷에 대해 비활성화할 수 없습니다.

새로 생성된 EBS 리소스는 EC2 설정에서 또는 시작 시에 고객 관리형 CMK를 지정하지 않은 경우 사용자 계정의 기본 고객 마스터 키(CMK)로 암호화됩니다. 자세한 내용은 암호화 키 관리 단원을 참조하십시오.

암호화 기본 제공은 기존 EBS 볼륨 또는 스냅샷에 영향을 미치지 않지만 암호화되지 않은 스냅샷을 복사하거나 암호화되지 않은 볼륨을 복원하면 결과로 얻은 스냅샷 또는 볼륨이 암호화됩니다. 암호화되지 않은 EBS 리소스에서 암호화된 리소스로의 이전 예제는 암호화되지 않은 리소스의 암호화 단원을 참조하십시오.

암호화 기본 제공을 활성화하면 인스턴스 유형이 EBS 암호화를 지원할 때에 Amazon EC2 인스턴스를 시작할 수 있습니다. 자세한 내용은 지원되는 인스턴스 유형 단원을 참조하십시오.

리전에서 암호화를 기본적으로 활성화하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 모음에서 해당 리전을 선택합니다.

  3. 계정 속성, 설정을 선택합니다.

  4. EBS 스토리지 아래에서 Always encrypt new EBS volumes(항상 새 EBS 볼륨 암호화)를 선택합니다.

  5. 업데이트를 선택합니다.

암호화 키 관리

Amazon EBS는 사용자가 AWS 리소스를 저장하는 각 리전에 자동으로 고유한 AWS 관리형 CMK와 alias/aws/ebs 별칭을 생성합니다. 기본적으로 Amazon EBS는 암호화에 이 키를 사용합니다. 또는 생성한 고객 관리형 CMK를 암호화의 기본 키로 지정할 수 있습니다.

참고

CMK를 직접 생성하면 액세스 제어의 정의를 위해 키를 생성, 교체, 비활성화하는 등 보다 폭넓은 작업이 가능합니다.

기존 스냅샷이나 암호화된 볼륨과 연동되어 있는 CMK는 변경할 수 없습니다. 하지만 스냅샷 복사 작업 중에 다른 CMK와 연동시킬 수는 있습니다. 복사된 스냅샷은 새로운 CMK로 암호화됩니다.

EBS는 산업 표준 AES-256 알고리즘을 사용하여 데이터 키로 볼륨을 암호화합니다. 데이터 키는 암호화된 데이터와 함께 디스크에 저장되지만 EBS가 고객의 CMK로 암호화하기 전에는 저장되지 않습니다. 디스크에서 일반 텍스트로 보이는 일은 결코 없습니다. 볼륨의 스냅샷은 동일한 데이터 키를 공유하며 그런 스냅샷에서 생성한 후속 볼륨도 데이터 키를 공유합니다. 자세한 내용은 AWS Key Management Service Developer Guide데이터 키를 참조하십시오.

사전 조건

CMK를 EBS 암호화의 기본으로 구성한 경우, CMK가 인스턴스 시작에 사용되어 볼륨을 생성하고 스냅샷 및 이미지를 복사하도록 허용하는 KMS 키 정책에 대한 액세스도 사용자에게 허용해야 합니다. 이러한 권한에는 GenerateDataKeyWithoutPlainText, Reencrypt*, CreateGrant, DescribeKey, Decrypt가 포함됩니다. 자세한 내용은 Authentication and Access Control for AWS KMSAmazon Elastic Block Store(Amazon EBS)가 AWS KMS를 사용하는 방법 단원을 참조하십시오.

리전에서 EBS 암호화를 위해 기본 CMK를 구성하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 모음에서 해당 리전을 선택합니다.

  3. 계정 속성, 설정을 선택합니다.

  4. Change the default key(기본 키 변경)를 선택한 후 사용 가능한 키를 선택합니다.

  5. 업데이트를 선택합니다.

키 관리 및 키 액세스 권한에 대한 자세한 정보는 AWS Key Management Service Developer GuideAmazon Elastic Block Store(Amazon EBS)의 AWS KMS 활용 방식AWS KMS에 대한 인증 및 액세스 제어 단원을 참조하십시오.

API 및 CLI를 사용한 암호화 및 키 기본값 설정

다음 API 작업 및 CLI 명령을 사용하여 암호화 기본 제공과 기본 고객 마스터 키(CMK)를 관리할 수 있습니다.

API 작업 CLI 명령 설명

DisableEbsEncryptionByDefault

disable-ebs-encryption-by-default

암호화를 기본적으로 비활성화합니다.

EnableEbsEncryptionByDefault

enable-ebs-encryption-by-default

암호화를 기본적으로 활성화합니다.

GetEbsDefaultKmsKeyId

get-ebs-default-kms-key-id

기본 CMK를 설명합니다.

GetEbsEncryptionByDefault

get-ebs-encryption-by-default

암호화 기본 제공을 활성화할지 여부를 나타냅니다.

ModifyEbsDefaultKmsKeyId

modify-ebs-default-kms-key-id

EBS 볼륨을 암호화하는 데 사용되는 기본 CMK를 변경합니다.

ResetEbsDefaultKmsKeyId

reset-ebs-default-kms-key-id

AWS 관리형 기본 CMK를 EBS 볼륨을 암호화하는 데 사용되는 기본 CMK로 재설정합니다.

지원되는 인스턴스 유형

Amazon EBS 암호화는 아래에 나열된 인스턴스 유형에서 사용할 수 있습니다. 이러한 인스턴스 유형에는 암호화된 볼륨과 암호화되지 않은 볼륨을 동시에 연결할 수 있습니다.

  • 범용: A1, M3, M4, M5, M5a, M5ad, M5d, T2, T3 및 T3a

  • 최적화된 컴퓨팅: C3, C4, C5, C5d 및 C5n

  • 메모리 최적화: cr1.8xlarge, R3, R4, R5, R5a, R5ad, R5d, X1, X1e 및 z1d

  • 스토리지 최적화: D2, h1.2xlarge, h1.4xlarge, I2 및 I3

  • 액셀러레이티드 컴퓨팅: F1, G2, G3, P2 및 P3

  • 베어 메탈: i3.metal, m5.metal, m5d.metal, r5.metal, r5d.metal, u-6tb1.metal, u-9tb1.metal, u-12tb1.metal, and z1d.metal

EBS 볼륨을 통한 암호화 파라미터 사용

Encrypted 파라미터를 true로 설정하여 EBS 볼륨에 암호화를 적용합니다. 기본 암호화가 설정되어 있으면 Encrypted 파라미터가 선택 사항입니다.

선택적으로 KmsKeyId를 사용하여 볼륨을 암호화하는 데 사용할 사용자 지정 키를 지정할 수 있습니다. 기본 암호화가 설정되어 있어도 Encrypted 파라미터도 true로 설정해야 합니다. KmsKeyId가 지정되지 않은 경우 암호화에 사용되는 키는 소스 스냅샷 및 해당 소유권의 암호화 상태에 따라 달라집니다. 다음 표에서는 가능한 각 설정 조합에 대한 암호화 결과를 설명합니다.

암호화 결과

파라미터 Encrypted 설정 여부 암호화 기본 설정 여부 볼륨의 소스 기본값(CMK가 지정되지 않음) 사용자 지정(CMK가 지정됨)
아니요 아니요 새(빈) 볼륨 암호화되지 않음 해당 사항 없음
아니요 아니요 암호화되지 않은 소유 스냅샷 암호화되지 않음
아니요 아니요 암호화된 소유 스냅샷 동일한 키로 암호화됨
아니요 아니요 암호화되지 않은 공유 스냅샷 암호화되지 않음
아니요 아니요 암호화된 공유 스냅샷 기본 CMK*로 암호화됨
아니요 새 볼륨 기본 CMK로 암호화됨 지정된 CMK**로 암호화됨
아니요 암호화되지 않은 소유 스냅샷 기본 CMK로 암호화됨
아니요 암호화된 소유 스냅샷 동일한 키로 암호화됨
아니요 암호화되지 않은 공유 스냅샷 기본 CMK로 암호화됨
아니요 암호화된 공유 스냅샷 기본 CMK로 암호화됨
아니요 새(빈) 볼륨 기본 CMK로 암호화됨
아니요 암호화되지 않은 소유 스냅샷 기본 CMK로 암호화됨 해당 사항 없음
아니요 암호화된 소유 스냅샷 동일한 키로 암호화됨
아니요 암호화되지 않은 공유 스냅샷 기본 CMK로 암호화됨
아니요 암호화된 공유 스냅샷 기본 CMK로 암호화됨
새 볼륨 기본 CMK로 암호화됨 지정된 CMK로 암호화됨
암호화되지 않은 소유 스냅샷 기본 CMK로 암호화됨
암호화된 소유 스냅샷 동일한 키로 암호화됨
암호화되지 않은 공유 스냅샷 기본 CMK로 암호화됨
암호화된 공유 스냅샷 기본 CMK로 암호화됨

* 이는 AWS 계정 및 리전에 대한 기본 CMK입니다. 이는 AWS 관리형 기본값이거나 사용자가 지정한 고객 관리형 기본값일 수 있습니다. 자세한 내용은 암호화 키 관리 단원을 참조하십시오.

** 이는 실행 시 볼륨용으로 지정된 고객 관리형 CMK입니다. 이 CMK는 AWS 계정 및 리전에 대해 설정된 기본 CMK를 재정의합니다.

암호화를 통한 비어 있는 새 볼륨 생성

비어 있는 새 EBS 볼륨을 생성할 때 Encrypted 플래그를 설정하여 사용자의 기본 CMK로 암호화할 수 있습니다. 볼륨을 고객 관리형 CMK로 암호화하려면 KmsKeyId의 값도 제공해야 합니다. 볼륨은 최초로 사용 가능한 시점부터 암호화되므로 데이터가 항상 안전한 상태를 유지합니다. 자세한 절차는 Amazon EBS 볼륨 생성 단원을 참조하십시오.

기본적으로 볼륨을 생성할 때 선택한 동일한 CMK가 그로부터 생성한 스냅샷과 그러한 스냅샷에서 복원한 볼륨을 암호화합니다. 암호화된 볼륨 또는 스냅샷으로부터 암호화를 제거할 수 없습니다. 즉, 암화된 스냅샷 또는 암호화된 스냅샷의 사본에서 복원된 볼륨은 항상 암호화됩니다.

암호화되지 않은 리소스의 암호화

암호화되지 않은 기존 볼륨 또는 스냅샷을 암호화는 직접적인 방법은 없지만 CreateVolume 또는 CopySnapshot 작업을 사용하여 암호화되지 않은 기존 데이터를 암호화할 수 있습니다. 암호화를 기본적으로 활성화한 경우 AWS에서 사용자의 기본 CMK를 사용하여, 결과로 얻은 새로운 볼륨 또는 스냅샷의 암호화를 강제합니다. 암호화를 기본적으로 활성화하지 않은 경우에도 CreateVolume 또는 CopySnapshot(으)로 암호화 파라미터를 공급하여 리소스를 개별적으로 암호화할 수 있습니다. 위의 어떤 경우에도 암호화 기본값을 재정의하여 고객 관리형 CMK를 적용할 수 있습니다. 설명한 모든 작업은 EC2 콘솔, AWS CLI 또는 AWS API를 통해 수행할 수 있습니다. 자세한 내용은 Amazon EBS 볼륨 생성Amazon EBS 스냅샷 복사 단원을 참조하십시오.

다음 예제에서는 이러한 작업과 암호화 파라미터를 사용자의 볼륨 및 스냅샷의 암호화를 관리하는 데 사용하는 방법을 보여 줍니다. 암호화 사례의 전체 목록은 암호화 결과표를 참조하십시오.

암호화되지 않은 볼륨(활성화되지 않은 암호화 기본 제공) 복원

암호화 기본 제공을 활성화하지 않은 상태에서는 암호화되지 않은 스냅샷에서 복원한 볼륨이 기본적으로 암호화되지 않습니다. 그러나 Encrypted 파라미터와, 선택적으로, KmsKeyId 파라미터를 설정하여, 결과로 얻은 볼륨을 암호화할 수 있습니다. 다음 다이어그램에서 프로세스를 보여 줍니다.

KmsKeyId 파라미터를 그대로 놓아두면 결과로 얻은 볼륨이 사용자의 기본 CMK로 암호화됩니다. 키 ID를 입력하여 해당 볼륨을 다른 CMK로 암호화해야 합니다.

자세한 내용은 스냅샷으로부터 Amazon EBS 볼륨 복원 단원을 참조하십시오.

암호화되지 않은 볼륨(활성화된 암호화 기본 제공) 복원

암호화를 기본적으로 활성화한 경우 암호화되지 않은 스냅샷에서 복원된 볼륨에 대한 암호화가 필수이며 사용자의 기본 CMK를 사용하는 데 암호화 파라미터는 필요하지 않습니다. 다음 다이어그램은 이러한 간단한 기본 사례를 보여 줍니다.

복원된 볼륨을 고객 관리형 CMK로 암호화하려면 암호화되지 않은 볼륨(활성화되지 않은 암호화 기본 제공) 복원암호화되지 않은 스냅샷(활성화되지 않은 암호화 기본 제공) 복사 에서처럼 EncryptedKmsKeyId 파라미터를 모두 입력해야 합니다.

암호화되지 않은 스냅샷(활성화되지 않은 암호화 기본 제공) 복사

암호화 기본 제공을 활성화하지 않은 상태에서는 암호화되지 않은 스냅샷의 사본이 기본적으로 암호화되지 않습니다. 그러나 Encrypted 파라미터와, 선택적으로, KmsKeyId 파라미터를 설정하여, 결과로 얻은 볼륨을 암호화할 수 있습니다. 다음 다이어그램에서 프로세스를 보여 줍니다.


                        암호화되지 않은 스냅샷에서 암호화된 스냅샷을 생성합니다.

참고

새 CMK로 스냅샷을 복사 및 암호화하면 항상 전체(증분 아님) 복사가 생성되고 추가 지연 및 스토리지 비용이 발생합니다.

KmsKeyId 파라미터를 그대로 놓아두면 결과로 얻은 스냅샷이 사용자의 기본 CMK로 암호화됩니다. 키 ID를 입력하여 해당 볼륨을 다른 CMK로 암호화해야 합니다.

스냅샷 복사를 통해 볼륨의 데이터를 암호화하려면

  1. 암호화 파라미터를 적용하여 스냅샷을 복사합니다. KmsKeyId 파라미터를 그대로 놓아두면 결과로 얻은 스냅샷이 사용자의 기본 CMK로 암호화됩니다. 선택적으로 키 ID를 포함시켜 스냅샷을 다른 CMK로 암호화할 수 있습니다.

  2. 암호화한 스냅샷을 마찬가지로 암호화한 새 볼륨으로 복원합니다.

자세한 정보는 Amazon EBS 스냅샷 복사 단원을 참조하십시오.

암호화되지 않은 스냅샷(활성화된 암호화 기본 제공) 복사

암호화를 기본적으로 활성화한 경우 암호화되지 않은 스냅샷의 복사가 필수이며 사용자의 기본 CMK가 사용된다면 암호화 파라미터는 필요하지 않습니다. 다음 다이어그램은 이러한 간단한 기본 사례를 보여 줍니다.


                        암호화되지 않은 스냅샷에서 암호화된 스냅샷을 생성합니다.

참고

새 CMK로 스냅샷을 복사 및 암호화하면 항상 전체(증분 아님) 복사가 생성되고 추가 지연 및 스토리지 비용이 발생합니다.

스냅샷 사본을 고객 관리형 CMK로 암호화하려면 에서처럼 EncryptedKmsKeyId 파라미터를 모두 입력해야 합니다.

새 CMK로 리소스 재암호화

다음 예제에서는 암호화된 EBS 리소스를 다른 CMK로 재암호화하는 방법을 설명합니다.

암호화된 볼륨의 재암호화

암호화된 스냅샷에서 CreateVolume 작업을 수행할 때 다른 CMK를 통해 재암호화하는 옵션이 있습니다. 다음 다이어그램에서 프로세스를 보여 줍니다. CMK A와 CMK B, 2개의 CMK가 있습니다. 원본 스냅샷은 CMK A로 암호화됩니다. 볼륨을 생성하는 동안 파라미터로 입력된 CMK B의 키 ID를 통해 원본 데이터가 자동으로 암호 해독된 다음 CMK B로 재암호화됩니다.


                        암호화된 스냅샷을 복사하고 사본을 새로운 키로 암호화합니다.

참고

새 CMK로 스냅샷을 복사 및 암호화하면 항상 전체(증분 아님) 복사가 생성되고 추가 지연 및 스토리지 비용이 발생합니다.

자세한 내용은 스냅샷에서 Amazon EBS 볼륨 복원 단원을 참조하십시오.

암호화된 볼륨의 재암호화

복사 중에 스냅샷을 암호화하는 기능을 사용하여 자신이 소유하고 있는 이미 암호화된 스냅샷으로 새 CMK를 적용할 수 있습니다. 새 CMK를 사용하여 결과 복사본에서 복원된 볼륨에만 액세스할 수 있습니다. 다음 다이어그램에서 프로세스를 보여 줍니다. CMK A와 CMK B, 2개의 CMK가 있습니다. 원본 스냅샷은 CMK A로 암호화됩니다. 복사하는 동안 파라미터로 입력된 CMK B의 키 ID를 통해 원본 데이터가 자동으로 CMK B로 재암호화됩니다.


                        암호화된 스냅샷을 복사하고 사본을 새로운 키로 암호화합니다.

참고

새 CMK로 스냅샷을 복사 및 암호화하면 항상 전체(증분 아님) 복사가 생성되고 추가 지연 및 스토리지 비용이 발생합니다.

관련된 시나리오에서 자신과 공유된 스냅샷의 복사본에 새 암호화 파라미터를 적용하도록 선택할 수도 있습니다. 기본적으로 이 복사본은 스냅샷의 소유자가 공유하는 CMK로 암호화됩니다. 하지만 복사 프로세스 중에 자신이 관리하는 다른 CMK를 사용하여 공유 스냅샷의 복사본을 만드는 게 좋습니다. 이를 통해 원래 CMK가 손상되거나 소유자가 어떤 이유로든 CMK를 취소하는 경우 볼륨에 대한 액세스 권한을 보호할 수 있습니다.

다음 절차에서는 고객이 소유한 고객 관리형 CMK로 공유 스냅샷의 복사본을 생성하는 방법을 설명합니다. 사용자가 이전에 고객 관리형 CMK를 생성했으며 사용자의 기본 CMK로 암호화된 스냅샷이 있는 것으로 가정합니다. 자세한 정보는 AWS Key Management Service Developer Guide를 참조하십시오.

콘솔을 사용하여 새 고객 관리형 CMK로 자신이 보유한 스냅샷을 복사하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 스냅샷 페이지에서 자신의 스냅샷을 선택한 다음 작업, 복사를 선택합니다.

  3. 스냅샷 복사 창에서 마스터 키 필드에 고객 관리형 CMK에 대한 완전한 ARN을 (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef 형식으로) 입력하거나 메뉴에서 선택합니다. 복사를 선택합니다.

스냅샷의 결과 복사본과 이 복사본에서 복원되는 모든 볼륨은 고객 관리형 CMK로 암호화됩니다.

다음 절차에서는 고객이 소유한 새 CMK로 암호화된 공유 스냅샷의 복사본을 만드는 방법을 설명합니다. 이렇게 하려면 암호화된 공유 스냅샷과 그 스냅샷이 원래 암호화된 CMK의 액세스 권한이 모두 필요합니다.

콘솔을 사용하여 자신이 보유한 CMK에 공유 스냅샷 복사

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 스냅샷 페이지에서 암호화된 공유 스냅샷을 선택하고 작업복사를 선택합니다.

  3. 스냅샷 복사 창에서 마스터 키 필드에 소유한 CMK에 대한 완전한 ARN을 (arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef 형식으로) 입력하거나 메뉴에서 선택합니다. 복사를 선택합니다.

스냅샷의 결과 복사본과 이 복사본에서 복원되는 모든 볼륨은 자신이 제공한 CMK로 암호화됩니다. 원본 공유 스냅샷, 암호화 상태 또는 공유 CMK에 대한 변경 사항은 복사본에 아무런 영향도 미치지 않습니다.

자세한 정보는 Amazon EBS 스냅샷 복사 단원을 참조하십시오.

참고

EBS 지원 AMI에서 인스턴스를 시작할 때 새 암호화 상태를 적용할 수도 있습니다. 이는 EBS 지원 AMI에, 설명된 대로 조작할 수 있는 EBS 볼륨의 스냅샷이 포함되기 때문입니다. EBS 지원 AMI에서 인스턴스를 시작하는 동안의 암호화 옵션에 대한 자세한 설명은 EBS 지원 AMI를 통한 암호화 사용 단원을 참조하십시오.

암호화된 볼륨과 암호화되지 않은 볼륨 간 데이터 마이그레이션

암호화된 볼륨과 암호화되지 않은 볼륨에 모두 액세스할 수 있는 경우, 둘 사이에서 자유롭게 데이터를 전송할 수 있습니다. EC2는 암호화 및 복호화 작업을 투명하게 수행합니다.

암호화된 볼륨과 암호화되지 않은 볼륨 간에 데이터를 마이그레이션하려면 다음을 수행합니다.

  1. Amazon EBS 볼륨 생성의 절차에 따라 대상 볼륨(필요에 따라 암호화 또는 비암호화)을 생성합니다.

  2. 마이그레이션할 데이터를 호스팅하는 인스턴스에 대상 볼륨을 연결합니다. 자세한 내용은 Amazon EBS 볼륨을 인스턴스에 연결 단원을 참조하십시오.

  3. Amazon EBS 볼륨을 Linux에서 사용할 수 있도록 만들기의 절차에 따라 대상 볼륨을 사용 가능하도록 만듭니다. Linux 인스턴스의 경우 /mnt/destination에 마운트 지점을 생성하고 해당 위치에 대상 볼륨을 마운트할 수 있습니다.

  4. 소스 디렉터리에서 대상 볼륨으로 데이터를 복사합니다. 이를 위해 대량 복사 유틸리티를 사용하는 것이 가장 편리할 수 있습니다.

    Linux

    다음과 같이 rsync 명령을 사용하여 소스에서 대상 볼륨으로 데이터를 복사합니다. 이 예제에서 소스 데이터는 /mnt/source에 있고 대상 볼륨은 /mnt/destination에 마운트되어 있습니다.

    [ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

    Windows

    명령 프롬프트에서 robocopy 명령을 사용하여 원본 볼륨에서 대상 볼륨으로 데이터를 복사합니다. 이 예제에서 소스 데이터는 D:\에 있고 대상 볼륨은 E:\에 마운트되어 있습니다.

    PS C:\> robocopy D:\<sourcefolder> E:\<destinationfolder> /e /copyall /eta

    참고

    숨겨진 폴더로 인한 잠재적 문제를 방지하기 위해 전체 볼륨을 복사하는 대신 명시적으로 폴더의 이름을 지정하는 것이 좋습니다.

Amazon EBS 암호화 및 CloudWatch 이벤트

Amazon EBS는 특정 암호화 관련 시나리오에 Amazon CloudWatch Events를 지원합니다. 자세한 내용은 Amazon EBS용 Amazon CloudWatch Events를 참조하십시오.