보안

보안 및 규정 준수

암호화 준수 스토리지를 위해 KMS가 포함된 S3 고려

달리 지정하지 않는 한 모든 S3 버킷은 기본적으로 SSE-S3를 사용하여 유휴 객체를 암호화합니다. 그러나 AWS Key Management Service(AWS KMS) 키(SSE-KMS)를 사용한 서버 측 암호화를 대신 사용하도록 버킷을 구성할 수 있습니다. AWS KMS 내 보안 관리가 암호화 관련 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다. 이러한 KMS 키를 사용하여 Amazon S3 버킷에서 데이터를 보호할 수 있습니다. S3 버킷에서 SSE-KMS 암호화를 사용하는 경우 AWS KMS 키는 버킷과 동일한 리전에 있어야 합니다.

SSE-KMS용 S3 버킷 키를 사용하도록 범용 버킷을 구성하여 Amazon S3에서 AWS KMS로의 요청 트래픽을 줄여 AWS KMS 요청 비용을 최대 99% 절감합니다. S3 버킷 키는 디렉터리 버킷의 및 작업에 대해 항상 활성화되며 비활성화할 수 없습니다. GET PUT

Amazon S3 Express One Zone은 S3 디렉터리 버킷이라는 특정 유형의 버킷을 사용합니다. 디렉터리 버킷은 S3 Express One Zone 스토리지 클래스 전용이며 지연 시간이 짧은 고성능 액세스를 지원합니다. S3 디렉터리 버킷에서 기본 버킷 암호화를 구성하려면 다음 예제와 같이 AWS CLI를 사용하고 별칭이 아닌 KMS 키 ID 또는 ARN을 지정합니다.

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

EKS 포드의 IAM 역할에 암호화된 객체에 액세스할 수 있는 KMS 권한(예: kms:Decrypt)이 있는지 확인합니다. 버킷에 샘플 모델을 업로드하고, 포드에 탑재하고(예: Mountpoint S3 CSI 드라이버를 통해), 포드가 암호화된 데이터를 오류 없이 읽을 수 있는지 확인하여 스테이징 환경에서 이를 테스트합니다. AWS CloudTrail을 통해 로그를 감사하여 암호화 요구 사항 준수를 확인합니다. 설정 세부 정보 및 키 관리는 KMS 설명서를 참조하세요.