Amazon EBS 암호화의 요구 사항 - Amazon EBS
지원되는 볼륨 유형지원되는 인스턴스 유형 사용자의 권한인스턴스에 대한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EBS 암호화의 요구 사항

시작하기 전에 다음 요구 사항을 충족하는지 확인하세요.

지원되는 볼륨 유형

암호화는 모든 EBS 볼륨 유형에서 지원됩니다. 암호화된 볼륨에서는 지연 시간에 대한 영향을 최소화한 채 암호화되지 않은 볼륨과 동일한 IOPS 성능을 기대할 수 있습니다. 암호화되지 않은 볼륨에 액세스하는 것과 동일한 방법으로 암호화된 볼륨에 액세스할 수 있습니다. 암호화 및 암호 해독은 중단 없이 처리되므로 사용자나 사용자의 애플리케이션에서 별도로 조치할 부분은 없습니다.

지원되는 인스턴스 유형

Amazon EBS 암호화는 모든 현재 세대이전 세대 인스턴스 유형에서 사용할 수 있습니다.

사용자의 권한

EBS 암호화에 KMS 키를 사용하는 경우 KMS 키 정책은 필요한 AWS KMS 작업에 액세스할 수 있는 모든 사용자가 이 KMS 키를 사용하여 EBS 리소스를 암호화하거나 해독할 수 있도록 허용합니다. EBS 암호화를 사용하기 위해 다음 작업을 호출할 수 있는 권한을 사용자에게 부여해야 합니다.

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ReEncrypt

작은 정보

최소 권한의 원칙을 따르려면 kms:CreateGrant에 대한 전체 액세스 권한을 허용하지 마세요. 대신 다음 예와 같이 kms:GrantIsForAWSResource 조건 키를 사용하여 서비스에서 사용자를 대신하여 권한을 생성한 경우에만 사용자가 KMS 키에 권한 부여를 생성할 수 있도록 허용하십시오. AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

자세한 내용은 AWS Key Management Service 개발자 안내서의 기본 키 정책 섹션에서 AWS 계정 액세스 허용 및 IAM 정책 활성화를 참조하십시오.

인스턴스에 대한 권한

인스턴스가 암호화된 AMI, 볼륨 또는 스냅샷과 상호 작용을 시도할 경우 인스턴스의 자격 증명 전용 역할에 KMS 키 부여가 발급됩니다. 자격 증명 전용 역할은 인스턴스가 사용자를 대신하여 암호화된 AMI, 볼륨 또는 스냅샷과 상호 작용하기 위해 사용하는 IAM 역할입니다.

자격 증명 전용 역할은 수동으로 만들거나 삭제할 필요가 없으며 관련 정책도 없습니다. 또한 자격 증명 전용 역할 보안 인증에는 액세스할 수 없습니다.

참고

자격 증명 전용 역할은 인스턴스의 애플리케이션이 Amazon S3 객체 또는 Dynamo DB 테이블과 같은 다른 AWS KMS 암호화된 리소스에 액세스하는 데 사용되지 않습니다. 이러한 작업은 Amazon EC2 인스턴스 역할의 자격 증명 또는 인스턴스에 구성한 기타 AWS 자격 증명을 사용하여 수행됩니다.

자격 증명 전용 역할에는 서비스 제어 정책(SCP) 및 KMS 키 정책이 적용됩니다. SCP 또는 KMS 키가 KMS 키에 대한 자격 증명 전용 역할 액세스를 거부하는 경우 암호화된 볼륨이 있거나 암호화된 AMI 또는 스냅샷을 사용하여 EC2 인스턴스를 시작하지 못할 수 있습니다.

aws:SourceIp, aws:VpcSourceIpaws:SourceVpc, 또는 aws:SourceVpce AWS 글로벌 조건 키를 사용하여 네트워크 위치에 따라 액세스를 거부하는 SCP 또는 키 정책을 생성하는 경우 이러한 정책 설명이 인스턴스 전용 역할에 적용되지 않도록 해야 합니다. 예제 정책은 데이터 경계 정책 예제를 참조하세요.

자격 증명 전용 역할 ARN은 다음 형식을 사용합니다.

arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id

인스턴스에 키 부여가 발행되면 해당 인스턴스에 고유한 위임된 역할 세션에 키 부여가 발행됩니다. 피부여자 보안 주체 ARN은 다음 형식을 사용합니다.

arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id