AWS Cloud9 에서 사용하는 Amazon EBS 볼륨 암호화

이 주제에서는 AWS Cloud9 개발 환경에서 사용하는 EC2 인스턴스에 대해 Amazon EBS 볼륨을 암호화하는 방법을 보여줍니다.

Amazon EBS 암호화는 다음 데이터를 암호화합니다.

• 볼륨의 저장된 데이터

• 볼륨과 인스턴스 사이에서 이동하는 모든 데이터

• 볼륨에서 생성된 모든 스냅샷

• 그런 스냅샷에서 생성된 모든 볼륨

AWS Cloud9 EC2 개발 환경에 사용되는 Amazon EBS 볼륨에는 두 가지 암호화 옵션이 있습니다.

• 기본적으로 암호화 – 사용자의 AWS 계정 를 구성하여 생성하는 새 EBS 볼륨 및 스냅샷 사본의 암호화를 적용할 수 있습니다. 기본적으로 암호화는 AWS 리전의 수준에서 활성화됩니다. 따라서 해당 리전의 개별 볼륨 또는 스냅샷에 대해 이 기능을 활성화할 수 없습니다. 또한 Amazon EBS는 인스턴스를 시작할 때 생성된 볼륨을 암호화합니다. 따라서 EC2 환경을 생성하기 전에 이 설정을 활성화해야 합니다. 자세한 내용은 Amazon EC2 사용 설명서에서 기본적으로 암호화를 참조하세요.

• EC2 환경에서 사용하는 기존 Amazon EBS 볼륨의 암호화 - EC2 인스턴스용으로 이미 생성된 특정 Amazon EBS 볼륨을 암호화할 수 있습니다. 이 옵션에는 AWS Key Management Service (AWS KMS)를 사용하여 암호화된 볼륨에 대한 액세스를 관리하는 작업이 포함됩니다. 관련 절차는 AWS Cloud9 가 사용하는 기존 Amazon EBS 볼륨을 암호화 섹션을 참조하세요.

중요

AWS Cloud9 IDE가 기본적으로 암호화된 Amazon EBS 볼륨을 사용하는 경우의 AWS Identity and Access Management 서비스 연결 역할에는 이러한 EBS 볼륨에 AWS KMS key 대한에 대한 액세스 권한이 AWS Cloud9 필요합니다. 액세스 권한이 제공되지 않으면 AWS Cloud9 IDE가 시작되지 않고 디버깅이 어려울 수 있습니다.

액세스를 제공하려면 Amazon EBS 볼륨에서 사용하는 KMS 키AWSServiceRoleForAWSCloud9에 AWS Cloud9에 대한 서비스 연결 역할을 추가합니다. 이 작업에 대한 자세한 내용은 규범적 지침 패턴에서 기본 암호화와 함께 Amazon EBS 볼륨을 사용하는 AWS Cloud9 IDE 생성을 참조하세요. AWS

AWS Cloud9 가 사용하는 기존 Amazon EBS 볼륨을 암호화

기존 Amazon EBS 볼륨을 암호화하려면를 사용하여 KMS 키를 생성 AWS KMS 해야 합니다. 교체할 볼륨의 스냅샷을 생성한 후 KMS 키를 사용하여 스냅샷의 사본을 암호화합니다.

다음으로, 해당 스냅샷으로 암호화된 볼륨을 생성합니다. 그런 다음, 암호화되지 않은 볼륨을 EC2 인스턴스에서 분리하고 암호화된 볼륨을 연결하여 교체합니다.

마지막으로, 고객 관리형 키의 키 정책을 업데이트하여 AWS Cloud9 서비스 역할에 대한 액세스를 사용하도록 설정해야 합니다.

참고

다음 절차에서는 고객 관리 키를 사용하여 볼륨을 암호화하는 데 중점을 둡니다. 계정 AWS 서비스 의 AWS 관리형 키 에를 사용할 수도 있습니다. Amazon EBS의 별칭은 aws/ebs입니다. 암호화에 대해 이 기본 옵션을 선택한 경우 고객 관리형 키를 만드는 1단계를 건너뜁니다. 또한 키 정책을 업데이트하는 8단계를 건너뜁니다. 이는에 대한 키 정책을 변경할 수 없기 때문입니다 AWS 관리형 키.

기존 Amazon EBS 볼륨을 암호화하려면

1. AWS KMS 콘솔에서 대칭 KMS 키를 생성합니다. 자세한 내용은 AWS Key Management Service 개발자 가이드에서 대칭 KMS 키 생성을 참조하세요.

2. Amazon EC2 콘솔에서 환경에 사용되는 Amazon EBS 지원 인스턴스를 중지합니다. 콘솔이나 명령줄을 사용하여 인스턴스를 중지할 수 있습니다.

3. Amazon EC2 콘솔의 탐색 창에서 Snapshots(스냅샷)를 선택하여 암호화하려는 기존 볼륨의 스냅샷을 생성합니다.

4. Amazon EC2 콘솔의 탐색 창에서 [스냅샷(Snapshots)]을 선택하여 스냅샷을 복사합니다. [스냅샷 복사(Copy snapshot)] 대화 상자에서 다음을 수행하여 암호화를 사용하도록 설정합니다.

   • [이 스냅샷 암호화(Encrypt this snapshot)]를 선택합니다.

   • Master Key(마스터 키)에서 앞서 생성한 KMS 키를 선택합니다. (를 사용하는 경우 (기본값) aws/ebs 설정을 AWS 관리형 키유지합니다.)

5. 암호화된 스냅샷에서 새 볼륨을 생성합니다.

   참고

   암호화된 스냅샷에서 생성된 새 Amazon EBS 볼륨은 자동으로 암호화됩니다.

6. Amazon EC2 인스턴스에서 이전 Amazon EBS 볼륨을 분리합니다.

7. 암호화된 새 데이터 볼륨을 Amazon EC2 인스턴스에 연결합니다.

8. AWS Management Console 기본 보기, 정책 보기 또는 AWS KMS API를 사용하여 KMS 키의 키 AWS Management Console 정책을 업데이트합니다. 다음 키 정책 설명을 추가하여 AWS Cloud9 서비스가 KMS 키에 액세스할 수 AWSServiceRoleForAWSCloud9있도록 허용합니다.

   참고

   를 사용하는 경우이 단계를 AWS 관리형 키건너뜁니다.

   {
       "Sid": "Allow use of the key",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:{Partition}:iam::{AccountId}:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
       },
       "Action": [
           "kms:Encrypt",
           "kms:Decrypt",
           "kms:ReEncrypt*",
           "kms:GenerateDataKey*",
           "kms:DescribeKey"
       ],
       "Resource": "*"
      },
      {
       "Sid": "Allow attachment of persistent resources",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:{Partition}:iam::{AccountId}:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
       },
       "Action": [
           "kms:CreateGrant",
           "kms:ListGrants",
           "kms:RevokeGrant"
       ],
       "Resource": "*",
       "Condition": {
           "Bool": {
               "kms:GrantIsForAWSResource": "true"
           }
       }
   }      

9. Amazon EC2 인스턴스를 다시 시작합니다. Amazon EC2 인스턴스 다시 시작에 대한 자세한 내용은 인스턴스 중지 및 시작을 참조하세요.