암호화 Amazon DocumentDB 저장 시 데이터 - Amazon DocumentDB

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

암호화 Amazon DocumentDB 저장 시 데이터

클러스터를 생성할 때 스토리지 암호화 옵션을 지정하여 Amazon DocumentDB 클러스터에서 유휴 데이터를 암호화합니다. 스토리지 암호화는 클러스터 전반에서 활성화되고 기본 인스턴스와 복제본을 포함한 모든 인스턴스에 적용됩니다. 또한 클러스터의 스토리지 볼륨, 데이터, 인덱스, 로그, 자동 백업 및 스냅샷에도 적용됩니다.

Amazon DocumentDB에서는 256비트 고급 암호화 표준(AES-256)을 사용하여 ()에 저장된 암호화 키를 통해 데이터를 암호화합니다.AWS Key Management Service (AWS KMS). 사용 시 Amazon DocumentDB 암호화가 설정된 클러스터가 활성화되어 있으므로 애플리케이션 논리 또는 클라이언트 연결을 수정할 필요가 없습니다. Amazon DocumentDB 성능에 영향을 미치지 않으면서 데이터 암호화 및 데이터 복호화를 처리합니다.

Amazon DocumentDB는 데이터를 보호하기 위해 AWS KMS와 통합되어 봉투 암호화라는 방법을 사용합니다. 언제 Amazon DocumentDB 클러스터로 암호화 AWS KMS 고객 마스터 키 (CMK), Amazon DocumentDB 질문한다 AWS KMS CMK를 사용하여 ciphertext 데이터 키 생성 스토리지 볼륨을 암호화합니다. 암호화 텍스트 데이터 키는 사용자가 정의한 CMK를 사용하여 암호화되며 암호화된 데이터 및 스토리지 메타데이터와 함께 저장됩니다. 언제 Amazon DocumentDB 암호화된 데이터에 액세스해야 합니다. AWS KMS CMK를 사용하여 ciphertext 데이터 키를 해독하고 메모리에 일반 텍스트 데이터 키를 캐시하여 스토리지 볼륨의 데이터를 효율적으로 암호화하고 해독합니다.

의 스토리지 암호화 시설 Amazon DocumentDB 모든 AWS 지역에서 지원되는 모든 인스턴스 크기 및 Amazon DocumentDB 을(를) 사용할 수 있습니다.

저장 시 암호화 활성화 Amazon DocumentDB 클러스터

암호화를 활성화하거나 해제할 때 Amazon DocumentDB 클러스터를 사용하여 클러스터를 프로비저닝할 때 클러스터를 AWS Management 콘솔 또는 AWS Command Line Interface (AWS CLI) ). 콘솔을 사용하여 만든 클러스터는 기본적으로 유휴 데이터 암호화가 활성화되어 있습니다. 다음을 사용하여 생성한 클러스터 AWS CLI 는 기본적으로 저장된 저장에서 암호화를 가집니다. 따라서 --storage-encrypted 파라미터를 사용하여 유휴 데이터 암호화를 명시적으로 활성화해야 합니다. 두 경우 모두 클러스터를 만든 후에는 유휴 데이터 암호화 옵션을 변경할 수 없습니다.

Amazon DocumentDB는 AWS KMS를 사용하여 암호화 키를 검색 및 관리하고 이러한 키를 사용할 수 있는 방법을 제어하는 정책을 정의합니다. 만약 여러분이 AWS KMS 핵심 Amazon DocumentDB 기본 AWS 관리 서비스 고객 마스터 키(CMK)를 사용합니다. Amazon DocumentDB AWS 계정에서 각 AWS 지역에 대해 별도의 CMK를 생성합니다. 자세한 내용은 AWS 키 관리 서비스 개념.

자체 CMK를 생성하는 작업을 시작하려면 시작하기 in the AWS Key Management Service Developer Guide.

중요

대칭형 CMK를 사용하여 클러스터를 암호화하여 Amazon DocumentDB 대칭 cmks만 지원합니다. 비대칭 CMK를 사용하여 Amazon DocumentDB 클러스터의 데이터를 암호화하지 마십시오. 자세한 내용은 대칭 및 Fixlet 메트릭 키 사용 in the AWS Key Management Service Developer Guide.

IF Amazon DocumentDB 클러스터의 암호화 키를 더 이상 액세스할 수 없음 — 예를 들어, 키 액세스가 취소되는 경우 — 암호화된 클러스터는 터미널 상태로 이동합니다. 이러한 경우에는 백업 파일에서만 클러스터를 복원할 수 있습니다. 대상 Amazon DocumentDB, 백업은 항상 1일 동안 활성화됩니다.

또한 암호화된 Amazon DocumentDB 클러스터에 대해 키를 비활성화할 경우 해당 클러스터에서 읽거나 쓸 수 없습니다. 언제 Amazon DocumentDB 에서는 액세스 권한이 없는 키를 통해 암호화되는 클러스터를 만나며 클러스터를 터미널 상태로 가져옵니다. 이러한 상태에서는 클러스터를 더 이상 사용하지 못하기 때문에 데이터베이스의 현재 상태를 복구할 수 없습니다. 클러스터를 복원하려면 Amazon DocumentDB의 암호화 키에 대한 액세스 권한을 다시 활성화한 후 백업에서 클러스터를 복원해야 합니다.

중요

암호화된 클러스터에 대한 CMK를 이미 생성한 후에는 해당 CMK를 변경할 수 없습니다. 암호화된 클러스터를 생성하기 전에 암호화 키 요구 사항을 결정해야 합니다.

클러스터를 생성할 때 유휴 데이터 암호화 옵션을 지정합니다. 을 사용하여 클러스터를 생성할 때 기본적으로 유휴 데이터 암호화가 활성화됩니다.AWS Management 콘솔. 클러스터를 생성한 후에는 변경할 수 없습니다.

클러스터를 생성할 때 유휴 데이터 암호화 옵션을 지정하려면

  1. 생성 Amazon DocumentDB 클러스터에 설명된 시작하기 섹션. 그러나 6단계에서 선택하지 마십시오 클러스터 생성.

  2. 아래 인증 섹션, 선택 고급 설정 표시.

  3. 아래로 스크롤 암호화 시 암호화 섹션.

  4. 유휴 상태 암호화에 사용할 옵션을 선택합니다. 어떤 옵션을 선택하든 클러스터를 생성한 후에는 변경할 수 없습니다.

    • 이 클러스터의 저장 시 데이터를 암호화하려면 암호화 활성화.

    • 이 클러스터의 저장 시 데이터를 암호화하지 않으려면 암호화 비활성화.

  5. 원하는 마스터 키를 선택합니다. Amazon DocumentDB 사용 AWS Key Management Service (AWS KMS)를 사용하여 암호화 키를 검색하고 관리하며 이러한 키를 사용할 수 있는 방법을 제어하는 정책을 정의합니다. 만약 여러분이 AWS KMS 핵심 Amazon DocumentDB 기본 AWS 관리 서비스 CMK를 사용합니다. 자세한 내용은 AWS 키 관리 서비스 개념.

    참고

    암호화된 클러스터를 생성한 후에는 해당 클러스터의 CMK를 변경할 수 없습니다. 암호화된 클러스터를 생성하기 전에 암호화 키 요구 사항을 결정해야 합니다.

  6. 필요에 따라 다른 섹션을 완료하고 클러스터를 생성합니다.

암호를 암호화하려면 Amazon DocumentDB 클러스터를 사용하여 AWS CLI을(를) 지정해야 합니다. --storage-encrypted 옵션을 선택합니다. Amazon DocumentDB 클러스터를 사용하여 생성된 클러스터 AWS CLI 기본적으로 스토리지 암호화를 활성화하지 마십시오.

다음 예제에서는 스토리지 암호화가 활성화된 상태에서 Amazon DocumentDB 클러스터를 생성합니다.

Linux, macOS 또는 Unix의 경우:

aws docdb create-db-cluster \ --db-cluster-identifier sample-cluster \ --port 27017 \ --engine docdb \ --master-username yourMasterUsername \ --master-user-password yourMasterPassword \ --storage-encrypted

Windows의 경우:

aws docdb create-db-cluster ^ --db-cluster-identifier sample-cluster ^ --port 27017 ^ --engine docdb ^ --master-username yourMasterUsername ^ --master-user-password yourMasterPassword ^ --storage-encrypted

암호화를 생성할 때 Amazon DocumentDB 클러스터를 사용하여 AWS KMS 키 스트리트, 예:

Linux, macOS 또는 Unix의 경우:

aws docdb create-db-cluster \ --db-cluster-identifier sample-cluster \ --port 27017 \ --engine docdb \ --master-username yourMasterUsername \ --master-user-password yourMasterPassword \ --storage-encrypted \ --kms-key-id key-arn-or-alias

Windows의 경우:

aws docdb create-db-cluster ^ --db-cluster-identifier sample-cluster ^ --port 27017 ^ --engine docdb ^ --master-username yourMasterUsername ^ --master-user-password yourMasterPassword ^ --storage-encrypted ^ --kms-key-id key-arn-or-alias
참고

암호화된 클러스터를 생성한 후에는 해당 클러스터의 CMK를 변경할 수 없습니다. 암호화된 클러스터를 생성하기 전에 암호화 키 요구 사항을 결정해야 합니다.

다음에 대한 제한 Amazon DocumentDB 암호화된 클러스터

다음 제한 사항이 있습니다. Amazon DocumentDB 암호화된 클러스터.

  • 생성할 때에만 Amazon DocumentDB 클러스터에 대한 유휴 데이터 암호화를 활성화하거나 비활성화할 수 있고 클러스터를 생성한 이후에는 불가능합니다. 그러나 암호화되지 않은 클러스터의 스냅샷을 생성한 다음 암호화 시 암호화를 지정하는 동안 암호화되지 않은 스냅샷을 새 클러스터로 복구하여 암호화되지 않은 클러스터의 암호화된 복제본을 만들 수 있습니다.

    자세한 내용은 다음 주제 단원을 참조하십시오.

  • Amazon DocumentDB스토리지 암호화를 활성화한 클러스터를 수정하여 암호화를 비활성화할 수 없습니다.

  • 모든 인스턴스, 자동 백업, 스냅샷 및 인덱스를 Amazon DocumentDB 클러스터는 동일한 CMK로 암호화됩니다.