아마존 EBS 암호화 - 아마존 EBS
EBS암호화 작동 방식리소스 암호화 EBS회전 키 AWS KMS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존 EBS 암호화

Amazon EBS 암호화를 EBS 인스턴스와 연결된 리소스에 대한 간단한 암호화 솔루션으로 사용하십시오. EC2 Amazon EBS 암호화를 사용하면 자체 키 관리 인프라를 구축, 유지 및 보호할 필요가 없습니다. Amazon EBS 암호화는 암호화된 볼륨과 스냅샷을 생성할 AWS KMS keys 때 사용합니다.

EC2인스턴스를 호스팅하는 서버에서 암호화 작업이 수행되므로 인스턴스와 연결된 EBS 스토리지 모두의 data-at-rest 보안이 보장됩니다. data-in-transit

인스턴스에는 암호화된 볼륨과 암호화되지 않은 볼륨을 동시에 연결할 수 있습니다.

내용

EBS암호화 작동 방식

EC2인스턴스의 부팅 볼륨과 데이터 볼륨을 모두 암호화할 수 있습니다.

암호화된 EBS 볼륨을 생성하여 지원되는 인스턴스 유형에 연결하면 다음 유형의 데이터가 암호화됩니다.

  • 볼륨 내부에 있는 저장 데이터

  • 볼륨과 인스턴스 사이에서 이동하는 모든 데이터

  • 볼륨에서 생성된 모든 스냅샷

  • 그런 스냅샷에서 생성된 모든 볼륨

Amazon은 업계 표준 AES -256 데이터 EBS 암호화를 사용하여 데이터 키로 볼륨을 암호화합니다. 데이터 키는 볼륨 정보와 AWS KMS 함께 저장되기 전에 사용자 AWS KMS 키로 AWS KMS 생성되고 암호화됩니다. 모든 스냅샷과 해당 스냅샷에서 동일한 키를 사용하여 생성된 모든 후속 볼륨은 동일한 데이터 AWS KMS 키를 공유합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 데이터 키를 참조하세요.

Amazon은 EC2 암호화된 EBS 볼륨을 생성하는 AWS KMS 데 사용한 스냅샷이 암호화되었는지 또는 암호화되지 않았는지에 따라 약간 다른 방식으로 볼륨을 암호화 및 복호화합니다.

스냅샷이 EBS 암호화될 때 암호화가 작동하는 방식

소유하고 있는 암호화된 스냅샷에서 암호화된 볼륨을 생성하면 Amazon은 EC2 다음과 같이 AWS KMS EBS 볼륨을 암호화하고 복호화합니다.

  1. Amazon은 볼륨 암호화를 위해 AWS KMS선택한 KMS 키를 지정하여 GenerateDataKeyWithoutPlaintext요청을 에 EC2 보냅니다.

  2. 스냅샷과 동일한 KMS 키를 사용하여 볼륨을 암호화하는 경우, 스냅샷과 동일한 데이터 키를 AWS KMS 사용하고 동일한 KMS 키로 암호화합니다. 볼륨이 다른 KMS 키를 사용하여 암호화된 경우 새 데이터 키를 AWS KMS 생성하고 지정한 KMS 키로 암호화합니다. 암호화된 데이터 키는 EBS Amazon으로 전송되어 볼륨 메타데이터와 함께 저장됩니다.

  3. 암호화된 볼륨을 인스턴스에 연결하면 Amazon은 데이터 키를 해독할 수 AWS KMS 있도록 CreateGrant요청을 EC2 보냅니다.

  4. AWS KMS 암호화된 데이터 키를 복호화하고 해독된 데이터 키를 Amazon에 보냅니다. EC2

  5. EC2Amazon은 Nitro 하드웨어의 일반 텍스트 데이터 키를 사용하여 볼륨에 대한 디스크 I/O를 암호화합니다. 볼륨이 인스턴스에 연결되어 있는 동안에는 일반 텍스트 형태의 데이터 키가 메모리에 유지됩니다.

스냅샷이 암호화되지 않은 경우의 EBS 암호화 작동 방식

암호화되지 않은 스냅샷에서 암호화된 볼륨을 생성하면 Amazon은 EC2 다음과 같이 AWS KMS 볼륨을 암호화하고 EBS 복호화합니다.

  1. Amazon은 스냅샷에서 생성된 볼륨을 암호화할 수 있도록 CreateGrant AWS KMS요청을 에 EC2 보냅니다.

  2. Amazon은 볼륨 암호화를 위해 AWS KMS선택한 KMS 키를 지정하여 GenerateDataKeyWithoutPlaintext요청을 에 EC2 보냅니다.

  3. AWS KMS 새 데이터 키를 생성하고, 볼륨 암호화를 위해 선택한 KMS 키로 암호화하고, 암호화된 데이터 키를 EBS Amazon으로 전송하여 볼륨 메타데이터와 함께 저장합니다.

  4. Amazon은 암호화된 데이터 키를 복호화하기 AWS KMS 위해 Decrypt 요청을 EC2 보내고, 이 요청을 사용하여 볼륨 데이터를 암호화합니다.

  5. 암호화된 볼륨을 인스턴스에 연결하면 Amazon에서 CreateGrant요청을 EC2 전송하여 AWS KMS데이터 키를 해독할 수 있습니다.

  6. 암호화된 볼륨을 인스턴스에 연결하면 Amazon은 암호화된 데이터 키를 지정하여 복호화 요청을 에 EC2 보냅니다. AWS KMS

  7. AWS KMS 암호화된 데이터 키를 복호화하고 해독된 데이터 키를 Amazon에 보냅니다. EC2

  8. EC2Amazon은 Nitro 하드웨어의 일반 텍스트 데이터 키를 사용하여 볼륨에 대한 디스크 I/O를 암호화합니다. 볼륨이 인스턴스에 연결되어 있는 동안에는 일반 텍스트 형태의 데이터 키가 메모리에 유지됩니다.

자세한 내용은 AWS Key Management Service 개발자 안내서의 Amazon Elastic Block Store (AmazonEBS) 의 사용 방식 AWS KMS 및 Amazon EC2 예제 2를 참조하십시오.

사용할 수 없는 KMS 키가 데이터 키에 미치는 영향

KMS키를 사용할 수 없게 되면 효과는 거의 즉각적으로 나타납니다 (최종 일관성에 따라 달라질 수 있음). 새 조건을 반영하여 KMS 키의 키 상태가 변경되고 암호화 작업에서 KMS 키를 사용하려는 모든 요청이 실패합니다.

KMS키를 사용할 수 없게 만드는 작업을 수행해도 EC2 인스턴스나 연결된 EBS 볼륨에는 즉각적인 영향이 없습니다. EC2Amazon은 볼륨이 인스턴스에 연결되어 있는 동안 키가 아닌 데이터 KMS 키를 사용하여 모든 디스크 I/O를 암호화합니다.

하지만 암호화된 EBS 볼륨이 EC2 인스턴스에서 분리되면 Amazon은 Nitro 하드웨어에서 데이터 키를 EBS 제거합니다. Amazon에서 키를 사용하여 EBS 볼륨의 암호화된 데이터 KMS 키를 해독할 EBS 수 없기 때문에 다음 번에 암호화된 볼륨을 EC2 인스턴스에 연결하면 연결이 실패합니다. EBS볼륨을 다시 사용하려면 KMS 키를 다시 사용할 수 있도록 설정해야 합니다.

작은 정보

사용할 수 없게 만들려는 키에서 생성된 데이터 키로 암호화된 EBS 볼륨에 저장된 데이터에 더 이상 액세스하지 않으려면 KMS 키를 사용할 수 없게 만들기 전에 EC2 인스턴스에서 EBS 볼륨을 분리하는 것이 좋습니다. KMS

자세한 내용은 개발자 안내서에서 사용할 수 없는 KMS 키가 데이터 키에 미치는 영향을 참조하십시오.AWS Key Management Service

리소스 암호화 EBS

암호화를 활성화하거나, 기본적으로 암호화를 사용하거나, 암호화하려는 EBS 볼륨을 생성할 때 암호화를 활성화하여 볼륨을 암호화합니다.

볼륨을 암호화할 때 볼륨을 암호화하는 데 사용할 대칭 암호화 KMS 키를 지정할 수 있습니다. KMS키를 지정하지 않는 경우 암호화에 사용되는 키는 원본 스냅샷의 암호화 상태 및 소유권에 따라 달라집니다. KMS 자세한 내용은 암호화 결과표를 참조하십시오.

참고

API AWS CLI or를 사용하여 키를 지정하는 경우 KMS 키를 비동기적으로 AWS 인증한다는 점에 유의하십시오. KMS KMS키 ID, 별칭 또는 유효하지 않은 항목을 지정하면 작업이 완료된 것처럼 보일 수 있지만 결국에는 실패합니다. ARN

기존 스냅샷이나 볼륨에 연결된 KMS 키는 변경할 수 없습니다. 하지만 스냅샷 복사 작업 중에 다른 KMS 키를 연결하여 복사된 결과 스냅샷이 새 KMS 키로 암호화되도록 할 수 있습니다.

빈 볼륨 생성 시 암호화

비어 있는 새 볼륨을 생성할 때 특정 EBS 볼륨 생성 작업에 대해 암호화를 활성화하여 해당 볼륨을 암호화할 수 있습니다. 기본적으로 EBS 암호화를 활성화한 경우 암호화를 위한 기본 KMS 키를 사용하여 볼륨이 자동으로 EBS 암호화됩니다. 또는 특정 볼륨 생성 작업에 대해 다른 대칭 암호화 KMS 키를 지정할 수 있습니다. 볼륨은 최초로 사용 가능한 시점까지 암호화되므로 데이터가 항상 안전한 상태를 유지합니다. 자세한 절차는 아마존 EBS 볼륨 생성 섹션을 참조하세요.

기본적으로 볼륨을 생성할 때 선택한 KMS 키는 볼륨에서 만든 스냅샷과 암호화된 스냅샷에서 복원하는 볼륨을 암호화합니다. 암호화된 볼륨 또는 스냅샷으로부터 암호화를 제거할 수 없습니다. 즉, 암호화된 스냅샷 또는 암호화된 스냅샷의 사본에서 복원된 볼륨은 항상 암호화됩니다.

암호화된 볼륨의 퍼블릭 스냅샷은 지원하지 않지만 암호화된 스냅샷을 특정 계정과 공유할 수는 있습니다. 자세한 지침은 아마존 EBS 스냅샷 공유하기 섹션을 참조하세요.

암호화되지 않은 리소스 암호화

암호화되지 않은 기존의 볼륨이나 스냅샷은 직접 암호화할 수 없습니다. 그러나 암호화되지 않은 볼륨이나 스냅샷에서 암호화된 볼륨 또는 스냅샷을 생성할 수 있습니다. 기본적으로 암호화를 활성화하면 Amazon은 암호화를 위한 EBS 기본 KMS 키를 사용하여 새 볼륨과 스냅샷을 EBS 자동으로 암호화합니다. 그렇지 않으면 Amazon 암호화의 기본 KMS 키 또는 고객 관리형 대칭형 EBS 암호화 키를 사용하여 개별 볼륨 또는 스냅샷을 생성할 때 암호화를 활성화할 수 있습니다. 자세한 내용은 아마존 EBS 볼륨 생성Amazon EBS 스냅샷 복사 단원을 참조하세요.

스냅샷 사본을 고객 관리 키로 암호화하려면 에서와 같이 암호화를 활성화하고 KMS 키를 지정해야 합니다. 암호화되지 않은 스냅샷(활성화되지 않은 암호화 기본 제공) 복사

중요

EBSAmazon은 비대칭 암호화 키를 KMS 지원하지 않습니다. 자세한 내용은 개발자 안내서의 대칭 및 비대칭 암호화 KMS 키 사용을 참조하십시오.AWS Key Management Service

-back 인스턴스에서 인스턴스를 시작할 때 새 암호화 상태를 적용할 수도 있습니다. EBS AMI 이는 EBS -back에 설명된 대로 암호화할 수 있는 EBS 볼륨의 스냅샷이 AMIs 포함되어 있기 때문입니다. 자세한 내용은 -backed와 함께 EBS 암호화 사용을 참조하십시오. AMIs

회전 키 AWS KMS

암호화 모범 사례에 따르면 암호화 키를 광범위하게 사용하지 않는 것이 좋습니다.

Amazon EBS 암호화에 사용할 새 암호화 자료를 만들려면 새 고객 관리 키를 생성한 다음 해당 새 KMS 키를 사용하도록 애플리케이션을 변경하면 됩니다. 또는 기존 고객 관리형 키에 대해 자동 키 교체를 활성화할 수 있습니다.

고객 관리 키의 자동 키 교체를 활성화하면 매년 해당 KMS 키에 대한 새로운 암호화 자료가 AWS KMS 생성됩니다. AWS KMS 이전 버전의 암호화 자료를 모두 저장하므로 이전에 해당 키 자료로 암호화된 볼륨과 스냅샷을 계속 해독하고 사용할 수 있습니다. KMS AWS KMS 키를 삭제할 때까지 회전된 키 자료를 삭제하지 않습니다. KMS

교체된 고객 관리 키를 사용하여 새 볼륨 또는 스냅샷을 암호화하는 경우 현재 (새) 키 자료를 AWS KMS 사용합니다. 회전된 고객 관리 키를 사용하여 볼륨이나 스냅샷을 해독하는 경우 암호화에 사용된 암호화 자료의 버전을 AWS KMS 사용합니다. 볼륨이나 스냅샷이 이전 버전의 암호화 자료로 암호화된 경우 이전 버전을 AWS KMS 계속 사용하여 암호를 해독하십시오. AWS KMS 키 교체 후 새 암호화 자료를 사용하기 위해 이전에 암호화된 볼륨이나 스냅샷을 다시 암호화하지 않습니다. 암호화는 원래 암호화할 때 사용한 암호화 자료로 암호화된 상태로 유지됩니다. 교체된 고객 관리 키를 코드 변경 없이 애플리케이션 및 AWS 서비스에서 안전하게 사용할 수 있습니다.

참고

  • 자동 키 교체는 생성된 키 구성 요소가 포함된 대칭형 고객 관리 키에만 지원됩니다. AWS KMS

  • AWS KMS AWS 관리형 키 매년 자동으로 교체됩니다. AWS 관리형 키에 대한 키 교체를 사용 설정 또는 사용 중지할 수 없습니다.

자세한 내용은 AWS Key Management Service 개발자 안내서의 KMS 키 회전을 참조하십시오.