canary 아티팩트 암호화 - Amazon CloudWatch
시각적 모니터링 사용 시 아티팩트 위치 및 암호화 업데이트

canary 아티팩트 암호화

CloudWatch Synthetics는 스크린샷, HAR 파일 및 보고서와 같은 canary 아티팩트를 Amazon S3 버킷에 저장합니다. 기본적으로 이러한 아티팩트는 AWS 관리형 키를 사용하여 저장 시 암호화됩니다. 자세한 내용은 Customer keys and AWS keys를 참조하세요.

다른 암호화 옵션을 사용하도록 선택할 수 있습니다. CloudWatch Synthetics는 다음을 지원합니다.

  • SSE-S3: Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE).

  • SSE-KMS: AWS KMS 고객 관리형 키를 사용한 서버 측 암호화(SSE).

AWS 관리형 키를 통해 기본 암호화 옵션을 사용하고 싶지 않다면 추가 권한이 필요하지 않습니다.

SSE-S3 암호화를 사용하려면 canary를 만들거나 업데이트할 때 암호화 모드로 SSE_S3를 지정합니다. 암호화 모드를 사용하기 위한 추가 권한은 필요하지 않습니다. 더 자세한 내용은 Amazon S3-관리형 암호화 키(SSE-S3)와 함께 서버 측 암호화를 사용해 보호를 참조하세요.

AWS KMS 고객 관리형 키를 사용하려면 canary를 생성하거나 업데이트할 때 암호화 모드로 SSE-KMS를 지정하고 키의 Amazon 리소스 이름(ARN)도 제공합니다. 교차 계정 KMS 키를 사용할 수도 있습니다.

고객 관리형 키를 사용하려면 다음 설정이 필요합니다.

  • canary의 IAM 역할에는 키를 사용하여 아티팩트를 암호화할 수 있는 권한이 있어야 합니다. 시각적 모니터링을 사용하는 경우 아티팩트를 복호화할 수 있는 권한도 부여해야 합니다.

    {
    "Version": "2012-10-17",
    "Statement": {"Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "Your KMS key ARN"
    }
}

  • IAM 역할에 권한을 추가하는 대신 IAM 역할을 키 정책에 추가할 수 있습니다. 여러 canary에 동일한 역할을 사용하는 경우 이 방법을 고려해야 합니다.

    {
    "Sid": "Enable IAM User Permissions",
    "Effect": "Allow",
    "Principal": {
        "AWS": "Your synthetics IAM role ARN"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

  • 교차 계정 KMS 키를 사용하는 경우 Allowing users in other accounts to use a KMS key를 참조하세요.

고객 관리형 키를 사용할 때 암호화된 canary 아티팩트 보기

canary 아티팩트를 보려면 고객 관리형 키를 업데이트하여 아티팩트를 보는 사용자에게 AWS KMS 복호화 권한을 부여합니다. 또는 아티팩트를 보고 있는 사용자 또는 IAM 역할에 복호화 권한을 추가합니다.

기본적으로 AWS KMS 정책은 KMS 키에 대한 액세스를 허용하도록 계정의 IAM 정책을 사용 설정합니다. 교차 계정 KMS 키를 사용하는 경우 “교차 계정 사용자가 사용자 지정 AWS KMS 키로 암호화된 Amazon S3 객체에 액세스하려고 할 때 액세스 거부 오류가 발생하는 이유는 무엇인가요?”를 참조하세요.

KMS 키로 인한 액세스 거부 문제를 해결하는 방법에 대한 자세한 내용은 키 액세스 문제 해결을 참조하세요.

시각적 모니터링 사용 시 아티팩트 위치 및 암호화 업데이트

시각적 모니터링을 수행하기 위해 CloudWatch Synthetics는 스크린샷을 기준선으로 선택한 실행에서 획득한 기준 스크린샷과 비교합니다. 아티팩트 위치나 암호화 옵션을 업데이트하는 경우 다음 중 하나를 수행해야 합니다.

  • IAM 역할에 이전 Amazon S3 위치와 아티팩트의 새 Amazon S3 위치 모두에 대한 충분한 권한이 있는지 확인합니다. 또한 이전 및 새 암호화 방법과 KMS 키 모두에 대한 권한이 있는지 확인합니다.

  • 다음 canary 실행을 새 기준으로 선택하여 새 기준을 생성합니다. 이 옵션을 사용하는 경우 IAM 역할에 새 아티팩트 위치 및 암호화 옵션에 대한 충분한 권한이 있는지 확인하기만 하면 됩니다.

다음 실행을 새 기준으로 선택하는 두 번째 옵션을 사용하는 것이 좋습니다. 이렇게 하면 canary에 더 이상 사용하지 않는 아티팩트 위치 또는 암호화 옵션에 대한 종속성을 피할 수 있습니다.

예를 들어 canary에서 아티팩트 위치 A와 KMS 키 K를 사용하여 아티팩트를 업로드한다고 가정합니다. canary를 아티팩트 위치 B 및 KMS 키 L로 업데이트하는 경우 IAM 역할에 아티팩트 위치(A와 B)와 KMS 키(K 및 L) 모두에 대한 권한이 있는지 확인할 수 있습니다. 또는 다음 실행을 새 기준으로 선택하고 canary IAM 역할에 아티팩트 위치 B 및 KMS 키 L에 대한 권한이 있는지 확인할 수 있습니다.