AWS KMS(SSE-KMS)를 사용한 서버 측 암호화 지정
객체를 만들 때 AWS Key Management Service(AWS KMS) 키를 사용하는 서버 측 암호화를 통해 데이터를 암호화하도록 지정할 수 있습니다. 이는 새 객체를 업로드하거나 기존 객체를 복사하는 경우에 해당됩니다. 이 암호화를 SSE-KMS라고 합니다.
S3 콘솔, REST API, AWS CLI SDK 및 AWS를 사용하여 SSE-KMS를 지정할 수 있습니다. 자세한 내용은 아래 주제를 참조하세요.
Amazon S3에서 다중 리전 키를 사용할 수 있습니다. 다중 리전 키는 현재 AWS KMS keys와 같이 작동하지만, 키의 다중 리전 기능을 사용하지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 다중 리전 키 사용을 참조하세요.
이 주제에서는 Amazon S3 콘솔을 사용하여 객체 암호화의 유형을 설정하거나 변경하는 방법을 설명합니다.
객체 암호화를 변경하면 새 객체가 생성되어 이전 객체를 대체합니다. S3 버전 관리가 활성화된 경우 객체의 새 버전이 생성되고 기존 객체는 이전 버전이 됩니다. 또한 속성을 변경하는 역할도 새 객체(또는 객체 버전)의 소유자가 됩니다.
객체에 대한 암호화를 추가하거나 변경하려면
-
AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/
에서 Amazon S3 콘솔을 엽니다. -
버킷(Buckets) 목록에서 객체가 포함된 버킷의 이름을 선택합니다.
-
객체(Objects) 목록에서 암호화를 추가하거나 변경할 객체의 이름을 선택합니다.
[객체 개요(Object overview)]가 열리고 객체의 속성이 표시됩니다.
-
서버 측 암호화 설정(Server-side encryption settings)에서 편집(Edit)을 선택합니다.
서버 측 암호화 편집(Edit server-side encryption) 페이지가 열립니다.
-
객체에 대해 서버 측 암호화를 활성화하려면 서버 측 암호화(Server-side encryption)에서 활성화(Enable)를 선택합니다.
-
[암호화 키 유형(Encryption key type)]에서 AWS Key Management Service 키(SSE-KMS)를 선택합니다.
중요 기본 암호화 구성에 대해 AWS KMS 옵션을 사용할 경우 AWS KMS에 대한 RPS(초당 요청 수) 제한이 적용됩니다. AWS KMS 제한과 한도 증가를 요청하는 방법에 대한 자세한 내용은 AWS KMS 제한 단원 참조하세요.
-
[AWS KMS 키(AWS KMS key)]에서 다음 중 하나를 선택합니다.
-
AWS 관리형 키(aws/s3)
-
AWS KMS keys에서 선택한 후 KMS 키를 선택합니다.
-
KMS 마스터 키 ARN을 입력하고 AWS KMS 키 ARN을 입력합니다.
중요 버킷과 동일한 AWS 리전에서 사용되는 AWS KMS keys만 사용할 수 있습니다. AWS KMS keys에서 선택을 선택하면 S3 콘솔에는 KMS 키가 리전당 100개씩만 나열됩니다. 동일한 리전에 100개 이상의 KMS 키가 있는 경우, S3 콘솔에서 처음 100개의 KMS 키만 볼 수 있습니다. 콘솔에 나열되지 않은 KMS 키를 사용하려면 사용자 지정 KMS ARN을 선택하고 KMS 키 ARN을 입력합니다.
Amazon S3에서 서버 측 암호화에 AWS KMS key를 사용하는 경우 버킷과 동일한 리전에서 사용된 KMS 키를 선택해야 합니다. 또한 Amazon S3는 대칭 KMS 키만 지원하며 비대칭 KMS 키는 지원하지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 대칭 및 비대칭 키 사용을 참조하세요.
AWS KMS key 생성에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드의 키 생성을 참조하세요. Amazon S3에서 AWS KMS를 사용하는 방법에 대한 자세한 내용은 AWS Key Management Service에 저장된 KMS 키를 사용하는 서버 측 암호화(SSE-KMS)로 데이터 보호 섹션을 참조하세요.
-
[변경 사항 저장(Save changes)]을 선택합니다.
이 작업은 지정된 모든 객체에 암호화를 적용합니다. 폴더를 암호화할 때 폴더에 새 객체를 추가하기 전에 저장 작업이 완료될 때까지 기다립니다.
객체를 만들 때, 즉 새 객체를 업로드하거나 기존 객체를 복사할 때 AWS KMS keys를 사용하여 서버 측 암호화를 통해 데이터를 암호화하도록 지정할 수 있습니다. 이렇게 하려면 요청에 x-amz-server-side-encryption 헤더를 추가합니다. 암호화 알고리즘 aws:kms로 헤더의 값을 설정합니다. Amazon S3는 x-amz-server-side-encryption 응답 헤더를 반환하여 객체가 SSE-KMS를 사용하여 저장됨을 확인해 줍니다.
x-amz-server-side-encryption의 값을 사용하여 aws:kms 헤더를 지정하는 경우 다음 요청 헤더를 사용할 수도 있습니다.
-
x-amz-server-side-encryption-aws-kms-key-id -
x-amz-server-side-encryption-context -
x-amz-server-side-encryption-bucket-key-enabled
주제
SSE-KMS를 지원하는 Amazon S3 REST API
다음 REST API는 x-amz-server-side-encryption, x-amz-server-side-encryption-aws-kms-key-id 및 x-amz-server-side-encryption-context 요청 헤더를 수락합니다.
-
PUT Object - PUT API를 사용하여 데이터를 업로드할 때 이러한 요청 헤더를 지정할 수 있습니다.
-
PUT Object - Copy - 객체를 복사할 때 원본 객체 및 대상 객체가 있어야 합니다. COPY 작업을 사용하여 SSE-KMS 헤더를 전달할 경우 헤더가 대상 객체에만 적용됩니다. 기존 객체를 복사할 때 원본 객체의 암호화 여부에 관계없이 명시적으로 서버 측 암호화를 요청하지 않는 한 대상 객체는 암호화되지 않습니다.
-
POST Object- POST 작업을 사용하여 객체를 업로드할 경우에는 요청 헤더 대신 양식 필드에 동일한 정보를 제공합니다.
-
멀티파트 업로드 시작- 멀티파트 업로드 API를 사용하여 대형 객체를 업로드할 때 이 헤더를 지정할 수 있습니다. 시작 요청에서 이 헤더를 지정합니다.
객체가 서버 측 암호화를 사용하여 저장될 경우 다음 REST API의 응답 헤더는 x-amz-server-side-encryption 헤더를 반환합니다.
-
SSL(보안 소켓 언어) 또는 서명 버전 4를 사용하지 않으면 AWS KMS로 보호되는 객체에 대한 모든 GET 및 PUT 요청이 실패합니다.
-
객체가 SSE-KMS를 사용하는 경우
GET요청 및HEAD요청에 대해 암호화 요청 헤더를 전송하면HTTP 400 BadRequest오류가 발생합니다.
암호화 컨텍스트(x-amz-server-side-encryption-context)
x-amz-server-side-encryption:aws:kms를 지정하면 Amazon S3 API는 x-amz-server-side-encryption-context 헤더가 있는 암호화 컨텍스트를 지원합니다. 암호화 컨텍스트는 데이터에 대한 추가 컨텍스트 정보를 포함할 수 있는 선택적 키-값 페어 집합입니다.
Amazon S3에서 객체 또는 버킷 Amazon 리소스 이름(ARN)은 암호화 컨텍스트로 흔히 사용됩니다. S3 버킷 키를 활성화하지 않고 SSE-KMS를 사용하는 경우 객체 ARN을 암호화 컨텍스트로 사용합니다. 예: arn:aws:s3:::. 그러나 SSE-KMS를 사용하고 S3 버킷 키를 활성화하는 경우 암호화 컨텍스트에 버킷 ARN을 사용합니다. 예: object_ARNarn:aws:s3:::.bucket_ARN
Amazon S3의 암호화 컨텍스트에 대한 자세한 내용은 암호화 컨텍스트 단원을 참조하세요. 암호화 컨텍스트에 대한 일반 내용은 AWS Key Management Service 개발자 안내서의 AWS Key Management Service 개념 - 암호화 컨텍스트를 참조하세요.
AWS KMS 키 ID(x-amz-server-side-encryption-aws-kms-key-id)
x-amz-server-side-encryption-aws-kms-key-id 헤더를 사용하여 데이터를 보호하는 데 사용되는 고객 관리형 키의 ID를 지정할 수 있습니다. x-amz-server-side-encryption:aws:kms를 지정하지만 x-amz-server-side-encryption-aws-kms-key-id를 제공하지 않는 경우 Amazon S3는 AWS 관리형 키를 사용하여 데이터를 보호합니다. 고객 관리형 키를 사용하려면 고객 관리형 키의 x-amz-server-side-encryption-aws-kms-key-id를 제공해야 합니다.
Amazon S3에서 서버 측 암호화에 AWS KMS key를 사용하는 경우 대칭 키를 선택해야 합니다. Amazon S3는 대칭 키만 지원하며 비대칭 키는 지원하지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 대칭 및 비대칭 키 사용을 참조하세요.
S3 버킷 키(x-amz-server-side-encryption-aws-bucket-key-enabled)
x-amz-server-side-encryption-aws-bucket-key-enabled 요청 헤더를 사용하여 객체 수준에서 S3 버킷 키를 활성화하거나 비활성화할 수 있습니다. S3 버킷 키는 Amazon S3에서 AWS KMS로 가는 요청 트래픽을 줄여 AWS KMS 요청 비용을 줄일 수 있습니다. 자세한 내용은 Amazon S3 버킷 키를 사용하여 SSE-KMS 비용 절감 섹션을 참조하세요.
x-amz-server-side-encryption:aws:kms을(를) 지정하되 x-amz-server-side-encryption-aws-bucket-key-enabled을(를) 제공하지 않은 경우 객체는 대상 버킷에 대한 S3 버킷 키 설정을 사용하여 객체를 암호화합니다. 자세한 내용은 Batch Operations, REST API, AWS SDK 또는 AWS CLI를 사용하여 객체 수준에서 S3 버킷 키 구성 섹션을 참조하세요.
AWS SDK를 사용하는 경우 AWS KMS keys를 사용하여 Amazon S3를 요청할 수 있습니다. 이 단원에서는 Java 및 .NET용 AWS SDK를 사용한 예제를 제공합니다. 다른 SDK에 대한 자세한 내용은 샘플 코드 및 라이브러리
Amazon S3에서 서버 측 암호화에 AWS KMS key를 사용하는 경우 대칭 키를 선택해야 합니다. Amazon S3는 대칭 키만 지원하며 비대칭 키는 지원하지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 대칭 및 비대칭 키 사용을 참조하세요.
Copy 작업
객체를 복사할 때 동일한 요청 속성(ServerSideEncryptionMethod 및 ServerSideEncryptionKeyManagementServiceKeyId)을 추가하여 Amazon S3에서 AWS KMS key를 사용하도록 요청합니다. 객체 복사에 대한 자세한 내용은 객체 복사 단원을 참조하세요.
PUT 작업
미리 서명된 URL
