기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
전송 중 데이터 암호화
전송 계층 보안 (TLS) 을 사용하여 애플리케이션과 Amazon DocumentDB 클러스터 간의 연결을 암호화할 수 있습니다. 기본적으로 전송 중인 암호화는 새로 생성된 Amazon DocumentDB 클러스터에 대해 활성화됩니다. 클러스터를 생성할 때 또는 나중에 선택적으로 비활성화할 수 있습니다. 전송 중 암호화가 활성화된 경우 클러스터에 연결하려면 를 사용한 TLS 보안 연결이 필요합니다. 를 사용하여 Amazon TLS DocumentDB에 연결하는 자세한 내용은 을 참조하십시오. Amazon DocumentDB에 프로그래밍 방식으로 연결
아마존 DocumentDB 클러스터 설정 관리 TLS
Amazon DocumentDB 클러스터의 전송 중 암호화는 클러스터 파라미터 그룹의 파라미터를 통해 TLS 관리됩니다. 또는 AWS Command Line Interface () 를 사용하여 AWS Management Console Amazon DocumentDB TLS 클러스터 설정을 관리할 수 있습니다.AWS CLI현재 TLS 설정을 확인하고 수정하는 방법을 알아보려면 다음 섹션을 참조하십시오.
- Using the AWS Management Console
-
다음 단계에 따라 콘솔을 사용하여 파라미터 그룹 식별, TLS 값 확인, 필요한 수정 등 TLS 암호화를 위한 관리 작업을 수행하십시오.
참고
클러스터를 생성할 때 다르게 지정하지 않으면 클러스터는 기본 클러스터 파라미터 그룹을 이용해 생성됩니다.
default클러스터 파라미터 그룹의 파라미터는 수정할 수 없습니다(예:tls활성화/비활성화). 클러스터가default클러스터 파라미터 그룹을 사용하는 경우 해당 클러스터를 수정하여 기본이 아닌 클러스터 파라미터 그룹을 사용해야 합니다. 먼저 사용자 지정 클러스터 파라미터 그룹을 생성해야 할 수도 있습니다. 자세한 내용은 Amazon DocumentDB 클러스터 파라미터 그룹 생성 단원을 참조하십시오.-
클러스터에서 사용 중인 클러스터 매개 변수 그룹을 확인합니다.
-
https://console.aws.amazon.com/docdb
에서 Amazon DocumentDB 콘솔을 엽니다. -
탐색 창에서 클러스터를 선택합니다.
작은 정보
화면 왼쪽에 탐색 창이 표시되지 않으면 페이지 왼쪽 상단 모서리에서 메뉴 아이콘(
)을 선택합니다. -
참고로 클러스터 탐색 상자의 클러스터 식별자 열에는 클러스터와 인스턴스가 모두 표시됩니다. 인스턴스는 클러스터 아래에 나열됩니다. 참조는 아래 스크린샷을 참조하십시오.
-
통합할 클러스터를 선택합니다.
-
설정 탭을 선택하여 클러스터 디테일 아래를 스크롤 다운하여 클러스터 파라미터 그룹을 위치시키세요. 클러스터 파라미터 그룹의 이름을 적어 둡니다.
클러스터의 파라미터 그룹 이름이
default(예:default.docdb3.6)인 경우 사용자 지정 클러스터 파라미터 그룹을 생성해야 하며 계속하기 전에 이를 클러스터의 파라미터 그룹으로 지정해야 합니다. 자세한 내용은 다음을 참조하세요:-
Amazon DocumentDB 클러스터 파라미터 그룹 생성 — 사용할 수 있는 사용자 지정 클러스터 매개 변수 그룹이 없는 경우 생성합니다.
-
아마존 DocumentDB 클러스터 수정 — 사용자 지정 클러스터 매개 변수 그룹을 사용하도록 클러스터를 수정합니다.
-
-
-
tls클러스터 파라미터의 현재 값을 확인합니다.-
https://console.aws.amazon.com/docdb
에서 Amazon DocumentDB 콘솔로 이동합니다. -
탐색 창에서 파라미터 그룹을 선택합니다.
-
클러스터 파라미터 그룹 목록에서 원하는 클러스터 파라미터 그룹의 이름을 선택합니다.
-
클러스터 파라미터 섹션을 찾습니다. 클러스터 파라미터 목록에서
tls클러스터 파라미터 행을 찾습니다. 이때 다음 네 개의 열이 중요합니다:-
클러스터 파라미터 이름 — 클러스터 매개 변수의 이름입니다. 관리 TLS 측면에서는
tls클러스터 파라미터에 관심이 있을 것입니다. -
값 — 각 클러스터 매개 변수의 현재 값입니다.
-
허용된 값 — 클러스터 매개 변수에 적용할 수 있는 값 목록입니다.
-
응용 유형 — 정적 또는 동적 타입. 정적 클러스터 파라미터에 대한 변경 사항은 인스턴스를 재부팅할 때에만 적용할 수 있습니다. 동적 클러스터 파라미터에 대한 변경 사항은 즉시 또는 인스턴스를 재부팅할 때 적용할 수 있습니다.
-
-
tls클러스터 파라미터의 값을 수정합니다.tls의 값이 잘못된 경우 이 클러스터 파라미터 그룹에 대한 값을 수정합니다.tls클러스터 파라미터의 값을 변경하려면, 다음 단계에 따라 이전 단원으로부터 계속합니다.-
클러스터 파라미터 이름의 왼쪽에 있는 버튼(
tls)을 선택합니다. -
편집을 선택합니다.
-
tls의 값을 변경하려면tls수정 대화 상자의 드롭다운 목록에서 클러스터 파라미터로 사용할 값을 선택합니다.유효한 값은 다음과 같습니다:
비활성화 — 비활성화 TLS
활성화 — 활성화 TLS (버전 1.0, 1.1, 1.2 및 1.3)
fips-140-3 — 를 사용하여 활성화합니다. TLS FIPS 클러스터는 연방 정보 처리 표준 () FIPS 간행물 140-3의 요구 사항에 따른 보안 연결만 허용합니다. 이는 ca-central-1, us-west-2, us-east-1, us-east-2, us-east-2, us-east-2, -1, -1과 같은 지역의 Amazon DocumentDB 5.0 (엔진 버전 3.0.3727) 클러스터부터 지원됩니다. us-gov-east us-gov-west
-
클러스터 파라미터 수정을 선택합니다. 재부팅할 때 변경 사항이 각 클러스터 인스턴스에 적용됩니다.
-
Amazon DocumentDB 인스턴스를 재부팅합니다.
클러스터의 각 인스턴스를 재부팅하여 변경 사항이 클러스터의 모든 인스턴스에 적용되도록 합니다.
-
https://console.aws.amazon.com/docdb
에서 Amazon DocumentDB 콘솔로 이동합니다. -
탐색 창에서 인스턴스를 선택합니다.
-
재부팅할 인스턴스를 지정하려면 인스턴스 목록에서 인스턴스를 찾은 다음 이름 왼쪽에 있는 버튼을 선택합니다.
-
작업을 선택한 후 재부팅을 선택합니다. 재부팅을 선택하여 재부팅할지를 확인합니다.
-
-
- Using the AWS CLI
-
다음 단계에 따라 파라미터 그룹 식별, TLS 값 확인, 필요한 수정 AWS CLI등 를 사용하여 TLS 암호화를 위한 관리 작업을 수행하십시오.
참고
클러스터를 생성할 때 다르게 지정하지 않으면 클러스터는 기본 클러스터 파라미터 그룹을 이용해 생성됩니다.
default클러스터 파라미터 그룹의 파라미터는 수정할 수 없습니다(예:tls활성화/비활성화). 클러스터가default클러스터 파라미터 그룹을 사용하는 경우 해당 클러스터를 수정하여 기본이 아닌 클러스터 파라미터 그룹을 사용해야 합니다. 먼저 사용자 지정 클러스터 파라미터 그룹을 생성해야 할 수도 있습니다. 자세한 내용은 Amazon DocumentDB 클러스터 파라미터 그룹 생성 단원을 참조하십시오.클러스터에서 사용 중인 클러스터 파라미터 그룹 확인.
describe-db-clusters명령을 다음 파라미터와 함께 사용합니다.--db-cluster-identifier- 필수입니다. 관심 있는 클러스터의 이름을 선택합니다.--query— 선택 사항입니다. 출력을 관심 필드(이 경우 클러스터 이름과 해당 클러스터 매개 변수 그룹 이름)로만 제한하는 쿼리입니다.
aws docdb describe-db-clusters \ --db-cluster-identifier docdb-2019-05-07-13-57-08 \ --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'이 작업의 출력은 다음과 같습니다 (JSON형식).
[ [ "docdb-2019-05-07-13-57-08", "custom3-6-param-grp" ] ]클러스터의 파라미터 그룹 이름이
default(예:default.docdb3.6)인 경우 사용자 지정 클러스터 파라미터 그룹이 있어야 하며 계속하기 전에 이를 클러스터의 파라미터 그룹으로 지정해야 합니다. 자세한 정보는 다음 주제를 참조하세요:-
Amazon DocumentDB 클러스터 파라미터 그룹 생성 — 사용할 수 있는 사용자 지정 클러스터 파라미터 그룹이 없다면 만들어야 합니다.
-
아마존 DocumentDB 클러스터 수정 — 사용자 지정 클러스터 매개 변수 그룹을 사용하도록 클러스터를 수정합니다.
tls클러스터 파라미터의 현재 값을 확인합니다.이 클러스터 파라미터 그룹에 대한 자세한 내용은 다음 파라미터와 함께
describe-db-cluster-parameters작업을 사용합니다:--db-cluster-parameter-group-name- 필수입니다. 이전 명령의 출력값 중에서 클러스터 파라미터 그룹 이름을 사용합니다.--query— 선택 사항입니다. 출력값을 원하는 필드로만 제한하는 쿼리(이 경우에는ParameterName,ParameterValue,AllowedValues및ApplyType)입니다.
aws docdb describe-db-cluster-parameters \ --db-cluster-parameter-group-namecustom3-6-param-grp\ --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'이 작업의 출력은 다음과 같습니다 (JSON형식).
[ [ "audit_logs", "disabled", "enabled,disabled", "dynamic" ], ["tls", "disabled", "disabled,enabled,fips-140-3", "static"], [ "ttl_monitor", "enabled", "disabled,enabled", "dynamic" ] ]-
tls클러스터 파라미터의 값을 수정합니다.tls의 값이 잘못된 경우 이 클러스터 파라미터 그룹에 대한 값을 수정합니다.tls클러스터 파라미터의 값을 변경하려면 다음 파라미터와 함께modify-db-cluster-parameter-group작업을 사용합니다.--db-cluster-parameter-group-name- 필수입니다. 수정할 클러스터 파라미터 그룹의 이름입니다.default.*클러스터 파라미터 그룹은 지정할 수 없습니다.--parameters- 필수입니다. 클러스터 파라미터 그룹에서 수정할 파라미터의 목록입니다.-
ParameterName- 필수입니다. 수정할 클러스터 파라미터의 이름입니다. -
ParameterValue- 필수입니다. 이 클러스터 파라미터의 새 값입니다. 클러스터 파라미터의AllowedValues중 하나이어야 합니다.-
enabled— 클러스터는 TLS 버전 1.0, 1.1, 1.2 또는 1.3을 사용하는 보안 연결만 허용합니다. -
disabled— 클러스터는 를 사용한 보안 연결을 허용하지 않습니다TLS. fips-140-3— 클러스터는 연방 정보 처리 표준 (FIPS) 간행물 140-3의 요구 사항에 따른 보안 연결만 허용합니다. 이는 ca-central-1, us-west-2, us-east-1, us-east-2, us-east-2, us-east-2, -1, -1과 같은 지역의 Amazon DocumentDB 5.0 (엔진 버전 3.0.3727) 클러스터부터 지원됩니다. us-gov-east us-gov-west
-
-
ApplyMethod— 이 수정이 적용되지 않는 경우.tle같은 정적 클러스터 파라미터의 경우 이 값이pending-reboot이어야 합니다.-
pending-reboot— 인스턴스가 재부팅된 후에만 변경 사항이 인스턴스에 적용됩니다. 이 변경 사항이 클러스터의 모든 인스턴스에 적용되려면 각 클러스터 인스턴스를 개별적으로 재부팅해야 합니다.
-
-
다음 코드는
tls을 비활성화하고, DB 인스턴스가 재부팅될 때 각 DB 인스턴스에 변경사항을 적용합니다.aws docdb modify-db-cluster-parameter-group \ --db-cluster-parameter-group-name custom3-6-param-grp \ --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"다음 코드는
tls(버전 1.0, 1.1. 1.2 및 1.3) 활성화되어 각 DB 인스턴스가 재부팅될 때 변경 내용을 적용합니다.aws docdb modify-db-cluster-parameter-group \ --db-cluster-parameter-group-name custom3-6-param-grp \ --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"다음 코드는 를 TLS 사용하여
fips-140-3활성화하여 DB 인스턴스를 재부팅할 때 각 DB 인스턴스에 변경 내용을 적용합니다.aws docdb modify-db-cluster-parameter-group \ ‐‐db-cluster-parameter-group-name custom5-0-param-grp \ ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"이 작업의 출력은 다음과 같습니다 (JSON형식).
{ "DBClusterParameterGroupName": "custom3-6-param-grp" } -
Amazon DocumentDB 인스턴스를 재부팅합니다.
클러스터의 각 인스턴스를 재부팅하여 변경 사항이 클러스터의 모든 인스턴스에 적용되도록 합니다. Amazon DocumentDB 인스턴스를 재부팅하려면
reboot-db-instance다음 매개 변수를 사용하여 작업을 수행합니다:--db-instance-identifier- 필수입니다. 재부팅할 인스턴스의 식별자입니다.
다음 코드는
sample-db-instance인스턴스를 재부팅합니다.Linux, macOS, Unix의 경우:
aws docdb reboot-db-instance \ --db-instance-identifiersample-db-instanceWindows의 경우:
aws docdb reboot-db-instance ^ --db-instance-identifiersample-db-instance이 작업의 출력은 다음과 같습니다 (JSON형식).
{ "DBInstance": { "AutoMinorVersionUpgrade": true, "PubliclyAccessible": false, "PreferredMaintenanceWindow": "fri:09:32-fri:10:02", "PendingModifiedValues": {}, "DBInstanceStatus": "rebooting", "DBSubnetGroup": { "Subnets": [ { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1a" }, "SubnetIdentifier": "subnet-4e26d263" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1c" }, "SubnetIdentifier": "subnet-afc329f4" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1e" }, "SubnetIdentifier": "subnet-b3806e8f" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1d" }, "SubnetIdentifier": "subnet-53ab3636" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1b" }, "SubnetIdentifier": "subnet-991cb8d0" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1f" }, "SubnetIdentifier": "subnet-29ab1025" } ], "SubnetGroupStatus": "Complete", "DBSubnetGroupDescription": "default", "VpcId": "vpc-91280df6", "DBSubnetGroupName": "default" }, "PromotionTier": 2, "DBInstanceClass": "db.r5.4xlarge", "InstanceCreateTime": "2018-11-05T23:10:49.905Z", "PreferredBackupWindow": "00:00-00:30", "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b", "StorageEncrypted": true, "VpcSecurityGroups": [ { "Status": "active", "VpcSecurityGroupId": "sg-77186e0d" } ], "EngineVersion": "3.6.0", "DbiResourceId": "db-SAMPLERESOURCEID", "DBInstanceIdentifier": "sample-cluster-instance-00", "Engine": "docdb", "AvailabilityZone": "us-east-1a", "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00", "BackupRetentionPeriod": 1, "Endpoint": { "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com", "Port": 27017, "HostedZoneId": "Z2R2ITUGPM61AM" }, "DBClusterIdentifier": "sample-cluster" } }인스턴스가 재부팅되는 데 몇 분 정도 걸릴 수 있습니다. 사용 가능 상태인 경우에만 인스턴스를 사용할 수 있습니다. 콘솔 또는 AWS CLI를 사용하여 인스턴스의 상태를 모니터링할 수 있습니다. 자세한 내용은 Amazon DocumentDB 인스턴스 상태 모니터링 단원을 참조하십시오.
