저장 데이터 암호화

Amazon 또는 중 EFS API 하나를 통해 AWS CLI, AWS Management Console또는 프로그래밍 방식으로 암호화된 파일 시스템을 생성할 수 있습니다 AWS SDKs. 조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다.

EFS 파일 시스템을 생성한 후에는 암호화 설정을 변경할 수 없습니다. 즉, 암호화되지 않은 파일 시스템을 수정하여 암호화할 수 없습니다. 대신 암호화된 새 파일 시스템을 생성해야 합니다.

참고

AWS 키 관리 인프라는 연방 정보 처리 표준(FIPS) 140-2 승인 암호화 알고리즘을 사용합니다. 인프라는 국립표준기술연구소(NIST) 800-57 권장 사항과 일치합니다.

저장 시 암호화된 EFS 파일 시스템 생성 적용

AWS Identity and Access Management (IAM) 자격 증명 기반 정책의 elasticfilesystem:Encrypted IAM 조건 키를 사용하여 사용자가 유휴 시 암호화된 Amazon EFS 파일 시스템을 생성할 수 있는지 여부를 제어할 수 있습니다. 조건 키 사용에 관한 자세한 내용은 예: 암호화된 파일 시스템 생성 적용 섹션을 참조하세요.

내부에서 AWS Organizations 서비스 제어 정책(SCPs)을 정의하여 조직의 모든 에 대해 EFS 암호화 AWS 계정를 적용할 수도 있습니다. 의 서비스 제어 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서의 서비스 제어 정책을 AWS Organizations참조하세요.

콘솔을 사용해 유휴 파일 시스템 암호화

Amazon EFS 콘솔을 사용하여 새 파일 시스템을 생성하면 저장 시 암호화가 기본적으로 활성화됩니다.

참고

AWS CLI, 및 를 사용하여 새 파일 시스템을 생성할 때는 저장 시 암호화가 기본적으로 활성화되지 않습니다APISDKs. 자세한 내용은 파일 시스템 생성 (AWS CLI) 단원을 참조하십시오.

유휴 암호화 작동 방식

암호화가 적용된 파일 시스템의 경우, 데이터와 메타데이터가 자동으로 암호화된 후 파일 시스템에 기록됩니다. 유사하게 데이터와 메타데이터를 읽을 때, 자동으로 암호화를 해제한 후 애플리케이션으로 전달됩니다. 이러한 프로세스는 Amazon 에서 투명하게 처리EFS되므로 애플리케이션을 수정할 필요가 없습니다.

AmazonEFS은 업계 표준 AES-256 암호화 알고리즘을 사용하여 저장 EFS 데이터 및 메타데이터를 암호화합니다. 자세한 내용은AWS Key Management Service 개발자 안내서의 암호화 기초를 참조하세요.