기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
저장 중 암호화 입력 ElastiCache
데이터를 안전하게 유지하기 위해 ElastiCache Amazon과 Amazon S3는 캐시에 있는 데이터에 대한 액세스를 제한하는 다양한 방법을 제공합니다. 자세한 내용은 Amazon VPC 및 ElastiCache 보안 및 Amazon용 ID 및 액세스 관리 ElastiCache 섹션을 참조하세요.
ElastiCache 저장 중 암호화는 디스크상의 데이터를 암호화하여 데이터 보안을 강화하는 기능입니다. 이 기능은 서버리스 캐시에서 항상 활성화되어 있습니다. 이 기능이 활성화되어 있으면 다음과 같은 항목이 암호화됩니다.
-
동기화, 백업 및 스왑 작업 중 디스크
-
Amazon S3에 저장된 백업
데이터 계층화가 활성화된 클러스터의 SSD(Solid-State Drive)에 저장된 데이터는 항상 암호화됩니다.
ElastiCache 저장 시 기본 (서비스 관리형) 암호화는 물론 KMS (키 관리 서비스) 에서AWS 고객이 직접 관리하는 대칭형 AWS KMS 키를 사용할 수 있는 기능을 제공합니다. 캐시가 백업되면 암호화 옵션에서 기본 암호화 키를 사용할지 또는 고객 관리 키를 사용할지 선택합니다. 자세한 정보는 저장 데이터 암호화 활성화을 참조하세요.
참고
기본 (서비스 관리형) 암호화는 GovCloud (미국) 지역에서 사용할 수 있는 유일한 옵션입니다.
중요
자체 설계된 기존 Redis OSS 클러스터에서 저장 중 암호화를 활성화하려면 복제 그룹에서 백업 및 복원을 실행한 후 기존 복제 그룹을 삭제해야 합니다.
저장 시 암호화는 캐시를 생성할 때만 캐시에 대해 활성화할 수 있습니다. 데이터를 암호화 및 해독하기 위해 몇 가지 처리가 필요하기 때문에 미사용 데이터 암호화를 활성화하면 이러한 작업 중 성능에 영향이 있을 수 있습니다. 사용 사례에 대한 성능 영향을 파악하기 위해서는 미사용 데이터 암호화를 사용한 상태와 사용하지 않은 상태에서 데이터를 벤치마크해야 합니다.
미사용 데이터 암호화 조건
저장 중 암호화 구현을 계획할 때는 유휴 ElastiCache 암호화에 대한 다음과 같은 제약 조건을 염두에 두어야 합니다. ElastiCache
-
저장 중 암호화는 Redis OSS 버전 (EOL로 예정된 3.2.6, Redis OSS 버전 수명 종료 일정 참조), 4.0.10 이상을 실행하는 복제 그룹에서 지원됩니다.
-
미사용 데이터 암호화는 Amazon VPC에서 실행 중인 복제 그룹에 대해서만 지원됩니다.
-
유휴 데이터 암호화는 다음 노드 유형을 실행하는 복제 그룹에 대해서만 지원됩니다.
-
R6gd, R6g, R5, R4, R3
-
M6g, M5, M4, M3
-
T4g,T3, T2
자세한 내용은 지원되는 노드 유형 섹션 참조
-
-
미사용 데이터 암호화는
AtRestEncryptionEnabled파라미터를 명시적으로true로 설정해 활성화합니다. -
복제 그룹을 생성하는 경우에만 복제 그룹에 대해 미사용 데이터 암호화를 활성화할 수 있습니다. 복제 그룹을 수정하는 방법으로는 미사용 데이터 암호화 켜기 또는 끄기로 전환할 수 없습니다. 기존 복제 그룹에 대해 미사용 데이터 암호화를 구현하는 방법에 대한 자세한 내용은 저장 데이터 암호화 활성화 섹션을 참조하세요.
클러스터가 r6gd 패밀리의 노드 유형을 사용하는 경우 미사용 데이터 암호화가 활성화되었는지 여부에 관계없이 SSD에 저장된 데이터가 암호화됩니다.
저장 중 암호화에 고객 관리 키를 사용하는 옵션은 (-1 및 -1) 지역에서 사용할 수 없습니다. AWS GovCloud us-gov-east us-gov-west
클러스터가 r6gd 제품군의 노드 유형을 사용하는 경우 SSD에 저장된 데이터는 선택한 고객 관리형 AWS KMS 키 (또는 지역별 서비스 관리형 암호화) 로 암호화됩니다. AWS GovCloud
미사용 데이터 암호화를 구현하면 백업 및 노드 동기화 작업 중 성능이 저하될 수 있습니다. 이러한 암호화가 구현 성능에 미치는 영향을 확인하려면 미사용 데이터 암호화와 데이터를 암호화하지 않은 경우를 비교해 벤치마크하세요.
AWS KMS의 고객 관리형 키 사용
ElastiCache 저장 시 암호화를 위한 대칭형 고객 관리형 AWS KMS 키 (KMS 키) 를 지원합니다. 고객 관리형 KMS 키는 계정에서 생성, 소유 및 관리하는 암호화 키입니다. AWS 자세한 내용은 AWS Key Management Service 개발자 안내서에서 AWS KMS 키를 참조하세요. AWS KMS에서 키를 생성해야 사용할 수 있습니다. ElastiCache
AWS KMS 루트 키를 생성하는 방법을 알아보려면 키 관리 서비스 개발자 가이드의AWS 키 생성을 참조하십시오.
ElastiCache AWS KMS와 통합할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 권한 부여 사용을 참조하세요. Amazon과 AWS KMS의 ElastiCache 통합을 활성화하기 위한 고객 조치는 필요하지 않습니다.
kms:ViaService조건 키는 KMS 키 ( AWS KMS 키) 사용을 특정 서비스의 요청으로 제한합니다. AWS kms:ViaService와 함께 사용하려면 조건 키 ElastiCache 값인 및 에 두 ViaService 이름을 모두 포함해야 합니다. elasticache.AWS_region.amazonaws.com dax.AWS_region.amazonaws.com 자세한 내용은 ViaServicekms:를 참조하십시오.
Amazon이 AWS CloudTrail귀하를 대신하여 ElastiCache 보내는 요청을 추적하는 데 AWS Key Management Service 사용할 수 있습니다. 고객 관리 키와 AWS Key Management Service 관련된 모든 API 호출에는 해당 CloudTrail 로그가 있습니다. ListGrantsKMS API 호출을 호출하여 ElastiCache 생성되는 권한 부여도 확인할 수 있습니다.
고객 관리형 키를 사용하여 복제 그룹을 암호화하면 복제 그룹에 대한 모든 백업이 다음과 같이 암호화됩니다.
자동 일일 백업은 클러스터와 연결된 고객 관리형 키를 사용하여 암호화됩니다.
복제 그룹을 삭제할 때 생성된 최종 백업은 복제 그룹에 연결된 고객 관리형 키를 사용하여 암호화됩니다.
수동으로 생성한 백업은 복제 그룹에 연결된 KMS 키를 사용하기 위해 기본적으로 암호화됩니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.
백업 복사는 기본적으로 소스 백업과 연결된 고객 관리형 키를 사용합니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.
참고
-
선택한 Amazon S3 버킷으로 백업을 내보낼 때 고객 관리형 키를 사용할 수 없습니다. 그러나 Amazon S3으로 내보낸 모든 백업은 서버 측 암호화를 사용하여 암호화됩니다. 백업 파일을 새 S3 개체로 복사하고 고객 관리형 KMS 키를 사용하여 암호화하거나, KMS 키를 사용하여 기본 암호화로 설정된 다른 S3 버킷에 파일을 복사하거나, 파일 자체에서 암호화 옵션을 변경할 수 있습니다.
-
또한 고객 관리형 키를 사용하여 암호화에 고객 관리형 키를 사용하지 않는 복제 그룹에 대해 수동으로 생성한 백업을 암호화할 수도 있습니다. 이 옵션을 사용하면 원래 복제 그룹에서 데이터가 암호화되지 않더라도 KMS 키를 사용하여 Amazon S3에 저장된 백업 파일이 암호화됩니다.
백업에서 복원하면 새 복제 그룹을 생성할 때 사용할 수 있는 암호화 옵션과 유사한 암호화 옵션을 선택할 수 있습니다.
캐시를 암호화하는 데 사용한 키에 대해 키를 삭제하거나, 키를 비활성화하거나, 권한 부여를 취소하면 캐시를 복구할 수 없게 됩니다. 즉, 하드웨어 장애 후에는 수정하거나 복구할 수 없습니다. AWS KMS는 최소 7일의 대기 기간이 지난 후에만 루트 키를 삭제합니다. 키를 삭제한 후 다른 고객 관리형 키를 사용하여 보관용 백업을 생성할 수 있습니다.
자동 키 교체는 AWS KMS 루트 키의 속성을 보존하므로 교체해도 데이터 액세스 기능에는 영향을 미치지 않습니다. ElastiCache 암호화된 Amazon ElastiCache 캐시는 새 루트 키를 생성하고 이전 키에 대한 참조를 업데이트하는 수동 키 순환을 지원하지 않습니다. 자세한 내용은 키 관리 서비스 개발자 가이드의 AWS KMS AWS 키 교체를 참조하십시오.
KMS 키를 사용하여 ElastiCache 캐시를 암호화하려면 캐시당 한 번의 부여가 필요합니다. 이 권한은 캐시의 수명 기간 동안 사용됩니다. 또한 백업 생성 중에는 백업당 하나의 권한이 사용됩니다. 이 권한은 백업이 생성되면 폐기됩니다.
AWS KMS 권한 부여 및 한도에 대한 자세한 내용은 AWS 키 관리 서비스 개발자 가이드의 제한을 참조하십시오.
저장 데이터 암호화 활성화
모든 서버리스 캐시에는 저장 시 암호화가 활성화되어 있습니다.
자체 설계된 클러스터를 생성할 때 AtRestEncryptionEnabled 파라미터를 true로 설정하여 저장 시 암호화를 활성화할 수 있습니다. 기존 복제 그룹에 대해서는 미사용 데이터 암호화를 설정할 수 없습니다.
캐시를 생성할 때 저장 중 암호화를 활성화할 수 있습니다. ElastiCache AWS Management Console AWS CLI, 또는 ElastiCache API를 사용하여 이 작업을 수행할 수 있습니다.
캐시를 생성할 때 다음 옵션 중 하나를 선택할 수 있습니다.
-
기본값 – 이 옵션은 저장된 서비스 관리 암호화를 사용합니다.
-
고객 관리 키 - 이 옵션을 사용하면 저장 시 암호화를 위해 AWS KMS의 키 ID/ARN을 제공할 수 있습니다.
AWS KMS 루트 키를 생성하는 방법을 알아보려면 키 관리 서비스 개발자 가이드의 AWS 키 생성을 참조하십시오.
Redis OSS 복제 그룹을 생성할 때만 유휴 암호화를 활성화할 수 있습니다. 미사용 데이터 암호화를 활성화하려는 기존 복제 그룹이 있으면 다음 작업을 수행하세요.
기존 복제 그룹에 대해 미사용 데이터 암호화를 활성화하려면
-
기존 복제 그룹의 백업을 수동으로 생성합니다. 자세한 내용은 수동 백업 지원을 참조하세요.
-
백업에서 복원하여 새 복제 그룹을 생성합니다. 새 복제 그룹에 대해 미사용 데이터 암호화를 활성화합니다. 자세한 내용은 백업에서 새 캐시로 복원을 참조하세요.
-
새 복제 그룹을 가리키도록 애플리케이션에서 엔드포인트를 업데이트합니다.
를 사용하여 저장 중 암호화를 활성화합니다. AWS Management Console
모든 서버리스 캐시에는 저장 시 암호화가 활성화되어 있습니다. 기본적으로 AWS소유한 KMS 키는 데이터를 암호화하는 데 사용됩니다. 고유한 AWS KMS 키를 선택하려면 다음과 같이 선택하십시오.
기본 설정 섹션을 펼칩합니다.
기본 설정 섹션에서 기본 설정 사용자 지정을 선택합니다.
보안 섹션에서 보안 설정 사용자 지정을 선택합니다.
암호화 키 설정에서 고객 관리형 CMK를 선택합니다.
AWS KMS 키 설정에서 키를 선택합니다.
자체 캐시를 설계할 때 '간편한 생성' 메서드를 사용하는 '개발 및 테스트' 및 '프로덕션' 구성에서는 기본 키를 사용하여 저장 시 암호화가 활성화됩니다. 구성을 직접 선택할 때 다음과 같이 진행합니다.
-
엔진 버전으로 버전 3.2.6, 4.0.10 또는 이후 버전을 선택합니다.
-
저장 시 암호화의 활성화 옵션 옆에서 확인란을 클릭합니다.
-
기본 키 또는 고객 관리형 CMK를 선택합니다.
step-by-step 절차는 다음을 참조하십시오.
를 사용하여 저장 중 암호화를 활성화합니다. AWS CLI
를 사용하여 Redis OSS 클러스터를 생성할 때 유휴 암호화를 활성화하려면 복제 AWS CLI그룹을 생성할 때 -- at-rest-encryption-enabled 매개변수를 사용하십시오.
다음 작업을 수행하면 노드 3개 (--), 기본 복제본 1개, 읽기 전용 복제본 2개가 my-classic-rg 포함된 Redis OSS (클러스터 모드 비활성화num-cache-clusters) 복제 그룹이 생성됩니다. 이 복제 그룹 (--) 에는 미사용 암호화가 활성화되어 있습니다. at-rest-encryption-enabled
다음 파라미터와 해당 값은 복제 그룹에 대한 암호화를 활성화하는 데 필요합니다.
키 파라미터
-
--engine- 반드시redis여야 합니다. -
--engine-version- 3.2.6, 4.0.10 또는 이상이어야 합니다. -
--at-rest-encryption-enabled- 미사용 데이터 암호화를 활성화하기 위해 필요합니다.
예 1: 복제본이 있는 Redis OSS (클러스터 모드 비활성화) 클러스터
Linux, macOS, Unix의 경우:
aws elasticache create-replication-group \ --replication-group-idmy-classic-rg\ --replication-group-description"3 node replication group"\ --cache-node-typecache.m4.large\--engine\redis--at-rest-encryption-enabled\ --num-cache-clusters3
Windows의 경우:
aws elasticache create-replication-group ^ --replication-group-idmy-classic-rg^ --replication-group-description"3 node replication group"^ --cache-node-typecache.m4.large^--engine^redis--at-rest-encryption-enabled^ --num-cache-clusters3^
추가 정보는 다음을 참조하세요.
다음 작업을 수행하면 세 개의 노드 그룹 또는 샤드 (--) 가 my-clustered-rg 포함된 Redis OSS (클러스터 모드 사용) 복제 그룹이 생성됩니다. num-node-groups 각 노드에는 기본 노드 하나와 읽기 전용 복제본 2개 (--) 등 세 개의 노드가 있습니다. replicas-per-node-group 이 복제 그룹 (-- at-rest-encryption-enabled) 에는 유휴 암호화가 활성화되어 있습니다.
다음 파라미터와 해당 값은 복제 그룹에 대한 암호화를 활성화하는 데 필요합니다.
키 파라미터
-
--engine- 반드시redis여야 합니다. -
--engine-version- 4.0.10 이상이어야 합니다. -
--at-rest-encryption-enabled- 미사용 데이터 암호화를 활성화하기 위해 필요합니다. -
--cache-parameter-group- 이 클러스터 모드가 활성화된 복제 그룹을 만들려면default-redis4.0.cluster.on또는 이 클러스터에서 파생된 클러스터여야 합니다.
예 2: Redis OSS (클러스터 모드 활성화) 클러스터
Linux, macOS, Unix의 경우:
aws elasticache create-replication-group \ --replication-group-idmy-clustered-rg\ --replication-group-description"redis clustered cluster"\ --cache-node-typecache.m3.large\ --num-node-groups3\ --replicas-per-node-group2\--engine\redis--engine-version\6.2--at-rest-encryption-enabled\--cache-parameter-groupdefault.redis6.x.cluster.on
Windows의 경우:
aws elasticache create-replication-group ^ --replication-group-idmy-clustered-rg^ --replication-group-description"redis clustered cluster"^ --cache-node-typecache.m3.large^ --num-node-groups3^ --replicas-per-node-group2^--engine^redis--engine-version^6.2--at-rest-encryption-enabled^--cache-parameter-groupdefault.redis6.x.cluster.on
추가 정보는 다음을 참조하세요.
참고
