Amazon EBS 암호화 예시

암호화된 EBS 리소스를 생성하면 볼륨 생성 파라미터에서 다른 고객 관리형 키을(를) 지정하거나 AMI 또는 인스턴스에 대한 블록 디바이스 매핑을 지정하지 않는 한, 사용자 계정의 EBS 암호화에 대한 기본 KMS 키에 의해 암호화됩니다. 자세한 정보는 EBS 암호화의 KMS 키 선택을 참조하세요.

다음 예제에서는 볼륨 및 스냅샷의 암호화 상태를 관리할 수 있는 방법을 보여줍니다. 암호화 사례의 전체 목록은 암호화 결과표를 참조하십시오.

암호화되지 않은 볼륨(활성화되지 않은 암호화 기본 제공) 복원

암호화 기본 제공을 활성화하지 않은 상태에서는 암호화되지 않은 스냅샷에서 복원한 볼륨이 기본적으로 암호화되지 않습니다. 그러나 Encrypted 파라미터와, 선택적으로, KmsKeyId 파라미터를 설정하여, 결과로 얻은 볼륨을 암호화할 수 있습니다. 다음 다이어그램에서 프로세스를 보여 줍니다.

KmsKeyId 파라미터를 그대로 놓아두면 결과로 얻은 볼륨이 EBS 암호화에 대한 기본 KMS 키을(를) 사용하여 암호화됩니다. KMS 키 ID를 지정하여 해당 볼륨을 다른 KMS 키(으)로 암호화해야 합니다.

자세한 내용은 스냅샷에서 볼륨 생성 섹션을 참조하세요.

암호화되지 않은 볼륨(활성화된 암호화 기본 제공) 복원

암호화를 기본적으로 활성화한 경우 암호화되지 않은 스냅샷에서 복원된 볼륨에 대한 암호화가 필수이며 사용자의 기본 KMS 키을(를) 사용하는 데 암호화 파라미터는 필요하지 않습니다. 다음 다이어그램은 이러한 간단한 기본 사례를 보여 줍니다.

복원된 볼륨을 대칭 고객 관리형 암호화 키로 암호화하려면 Encrypted에서처럼 KmsKeyId 및 암호화되지 않은 볼륨(활성화되지 않은 암호화 기본 제공) 복원 파라미터를 모두 입력해야 합니다.

암호화되지 않은 스냅샷(활성화되지 않은 암호화 기본 제공) 복사

암호화 기본 제공을 활성화하지 않은 상태에서는 암호화되지 않은 스냅샷의 사본이 기본적으로 암호화되지 않습니다. 그러나 Encrypted 파라미터와, 선택적으로, KmsKeyId 파라미터를 설정하여, 결과로 얻은 볼륨을 암호화할 수 있습니다. KmsKeyId를 생략하면 결과로 얻은 스냅샷이 사용자의 기본 KMS 키로 암호화됩니다. KMS 키 ID를 지정하여 해당 볼륨을 다른 대칭 암호화 KMS 키로 암호화해야 합니다.

다음 다이어그램에서 프로세스를 보여 줍니다.

암호화되지 않은 스냅샷을 암호화된 스냅샷에 복사한 다음 암호화된 스냅샷에서 볼륨을 생성하여 EBS 볼륨을 암호화할 수 있습니다. 자세한 내용은 Amazon EBS 스냅샷 복사 섹션을 참조하세요.

암호화되지 않은 스냅샷(활성화된 암호화 기본 제공) 복사

암호화를 기본적으로 활성화한 경우 암호화되지 않은 스냅샷의 복사가 필수이며 사용자의 기본 KMS 키이(가) 사용된다면 암호화 파라미터는 필요하지 않습니다. 다음 다이어그램에서 기본 사례를 보여 줍니다.

암호화된 볼륨의 재암호화

암호화된 스냅샷에서 CreateVolume 작업을 수행할 때 다른 KMS 키을(를) 통해 재암호화하는 옵션이 있습니다. 다음 다이어그램에서 프로세스를 보여 줍니다. 이 예에서는 KMS 키 A와 KMS 키 B, 2개의 KMS 키이(가) 있습니다. 원본 스냅샷은 KMS 키 A로 암호화됩니다. 볼륨을 생성하는 동안 파라미터로 지정된 KMS 키 B의 KMS 키 ID를 통해 원본 데이터가 자동으로 암호 해독된 다음 KMS 키 B로 재암호화됩니다.

자세한 내용은 스냅샷에서 볼륨 생성 섹션을 참조하세요.

암호화된 스냅샷의 재암호화

복사 중에 스냅샷을 암호화하는 기능을 사용하여 자신이 소유하고 있는 이미 암호화된 스냅샷에 새 대칭 암호화 KMS 키를 적용할 수 있습니다. 새 KMS 키를 사용하여 결과 복사본에서 복원된 볼륨에만 액세스할 수 있습니다. 다음 다이어그램에서 프로세스를 보여 줍니다. 이 예에서는 KMS 키 A와 KMS 키 B, 2개의 KMS 키이(가) 있습니다. 원본 스냅샷은 KMS 키 A로 암호화됩니다. 복사하는 동안 파라미터로 지정된 KMS 키 B의 KMS 키 ID를 통해 원본 데이터가 자동으로 KMS 키 B로 재암호화됩니다.

관련된 시나리오에서 자신과 공유된 스냅샷의 복사본에 새 암호화 파라미터를 적용하도록 선택할 수도 있습니다. 기본적으로 이 복사본은 스냅샷의 소유자가 공유하는 KMS 키(으)로 암호화됩니다. 하지만 복사 프로세스 중에 자신이 관리하는 다른 KMS 키을(를) 사용하여 공유 스냅샷의 복사본을 만드는 게 좋습니다. 이를 통해 원래 KMS 키이(가) 손상되거나 소유자가 어떤 이유로든 KMS 키을(를) 취소하는 경우 볼륨에 대한 액세스 권한을 보호할 수 있습니다. 자세한 내용은 암호화 및 스냅샷 복사 섹션을 참조하세요.

암호화된 볼륨과 암호화되지 않은 볼륨 간 데이터 마이그레이션

암호화된 볼륨과 암호화되지 않은 볼륨에 모두 액세스할 수 있는 경우, 둘 사이에서 자유롭게 데이터를 전송할 수 있습니다. EC2는 암호화 및 복호화 작업을 투명하게 수행합니다.

Linux 인스턴스

예를 들어 rsync 명령을 사용하여 데이터를 복사합니다. 다음 명령에서 소스 데이터는 /mnt/source에 있고 대상 볼륨은 /mnt/destination에 마운트되어 있습니다.

[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/

Windows 인스턴스

예를 들어 robocopy 명령을 사용하여 데이터를 복사합니다. 다음 명령에서 소스 데이터는 D:\에 있고 대상 볼륨은 E:\에 마운트되어 있습니다.

PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta

숨겨진 폴더로 인한 잠재적 문제를 방지하기 위해 전체 볼륨을 복사하는 대신 폴더를 사용하는 것이 좋습니다.

암호화 결과

다음 표에서는 가능한 각 설정 조합에 대한 암호화 결과를 설명합니다.

암호화를 활성화합니까?	암호화를 기본 설정합니까?	볼륨의 소스	기본값(고객 관리형 키가 지정되지 않음)	사용자 지정(고객 관리형 키가 지정됨)
아니요	아니요	새(빈) 볼륨	암호화되지 않음	해당 사항 없음
아니요	아니요	암호화되지 않은 소유 스냅샷	암호화되지 않음
아니요	아니요	암호화된 소유 스냅샷	동일한 키로 암호화됨
아니요	아니요	암호화되지 않은 공유 스냅샷	암호화되지 않음
아니요	아니요	암호화된 공유 스냅샷	기본 고객 관리형 키로 암호화됨*
예	아니요	새 볼륨	기본 고객 관리형 키로 암호화됨	지정된 고객 관리형 키로 암호화됨**
예	아니요	암호화되지 않은 소유 스냅샷	기본 고객 관리형 키로 암호화됨
예	아니요	암호화된 소유 스냅샷	동일한 키로 암호화됨
예	아니요	암호화되지 않은 공유 스냅샷	기본 고객 관리형 키로 암호화됨
예	아니요	암호화된 공유 스냅샷	기본 고객 관리형 키로 암호화됨
아니요	예	새(빈) 볼륨	기본 고객 관리형 키로 암호화됨	해당 사항 없음
아니요	예	암호화되지 않은 소유 스냅샷	기본 고객 관리형 키로 암호화됨
아니요	예	암호화된 소유 스냅샷	동일한 키로 암호화됨
아니요	예	암호화되지 않은 공유 스냅샷	기본 고객 관리형 키로 암호화됨
아니요	예	암호화된 공유 스냅샷	기본 고객 관리형 키로 암호화됨
예	예	새 볼륨	기본 고객 관리형 키로 암호화됨	지정된 고객 관리형 키로 암호화됨
예	예	암호화되지 않은 소유 스냅샷	기본 고객 관리형 키로 암호화됨
예	예	암호화된 소유 스냅샷	동일한 키로 암호화됨
예	예	암호화되지 않은 공유 스냅샷	기본 고객 관리형 키로 암호화됨
예	예	암호화된 공유 스냅샷	기본 고객 관리형 키로 암호화됨

* AWS 계정 및 지역의 EBS 암호화에 사용되는 기본 고객 관리 키입니다. 기본적으로 이 키는 EBS에서만 AWS 관리형 키 사용할 수 있으며 고객 관리 키를 지정할 수도 있습니다. 자세한 정보는 EBS 암호화의 KMS 키 선택을 참조하세요.

** 이는 시작할 때 볼륨에 지정된 고객 관리형 키입니다. 이 고객 관리 키는 해당 AWS 계정 및 지역의 기본 고객 관리 키 대신 사용됩니다.