암호화된 파일 시스템에 대한 액세스 관리

Amazon EFS를 사용하여 암호화된 파일 시스템을 생성할 수 있습니다. Amazon은 파일 시스템에 대해 전송 중 암호화와 저장 중 암호화라는 두 가지 형태의 암호화를 EFS 지원합니다. 수행해야 하는 모든 키 관리는 저장된 암호화와만 관련이 있습니다. Amazon은 전송 중 암호화를 위한 키를 EFS 자동으로 관리합니다.

유휴 암호화를 사용하는 파일 시스템을 생성한 경우, 유휴 데이터와 메타데이터가 암호화됩니다. Amazon은 키 관리에 AWS Key Management Service (AWS KMS)를 EFS 사용합니다. 유휴 암호화를 사용하는 파일 시스템을 생성할 때 AWS KMS key를 지정합니다. KMS 키는 aws/elasticfilesystem ( AWS 관리형 키 Amazon용 EFS)이거나 관리하는 고객 관리형 키일 수 있습니다.

파일 데이터의 내용인 파일 데이터는 파일 시스템을 생성할 때 지정한 KMS 키를 사용하여 저장 시 암호화됩니다. 파일 이름, 디렉터리 이름 및 디렉터리 콘텐츠인 메타데이터는 Amazon이 EFS 관리하는 키를 사용하여 암호화됩니다.

파일 시스템의 EFS AWS 관리형 키 는 파일 이름, 디렉터리 이름 및 디렉터리 콘텐츠와 같은 파일 시스템의 메타데이터를 암호화하는 KMS 키로 사용됩니다. 사용자가 유휴 파일 데이터(파일 내용) 암호화에 사용한 고객 관리형 키를 소유합니다.

KMS 키와 암호화된 파일 시스템의 콘텐츠에 액세스할 수 있는 사용자를 관리합니다. 이 액세스는 AWS Identity and Access Management (IAM) 정책 및 모두에 의해 제어됩니다 AWS KMS. IAM 정책은 Amazon EFS API 작업에 대한 사용자의 액세스를 제어합니다. AWS KMS 키 정책은 파일 시스템이 생성될 때 지정한 KMS 키에 대한 사용자의 액세스를 제어합니다. 자세한 내용은 다음 자료를 참조하세요.

• IAM 사용 설명서의IAM 사용자

• AWS Key Management Service 개발자 안내서의 에 있는 주요 정책 AWS KMS

• AWS Key Management Service 개발자 안내서의 에 부여됩니다 AWS KMS.

키 관리자는 외부 키를 가져올 수 있습니다. 또한 키를 활성화, 비활성화, 삭제하여 수정할 수도 있습니다. 지정한 KMS 키의 상태(저장 시 암호화를 사용하여 파일 시스템을 생성할 때)는 해당 콘텐츠에 대한 액세스에 영향을 미칩니다. 사용자가 해당 KMS 키를 사용하여 암호화된 encrypted-at-rest 파일 시스템의 콘텐츠에 액세스할 수 있으려면 키가 enabled 상태여야 합니다.