Amazon Elasticsearch Service에 대한 유휴 데이터 암호화 - Amazon Elasticsearch Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon Elasticsearch Service에 대한 유휴 데이터 암호화

Amazon ES 도메인은 유휴 시 데이터 암호화, 데이터 무단 액세스를 방지하는 보안 기능을 제공합니다. 이 기능은 AWS Key Management Service(AWS KMS)를 사용하여 암호화 키를 저장 및 관리하며, 256비트 키를 사용하는 고급 암호화 표준 알고리즘(AES-256)을 통해 암호화를 수행합니다. 활성화된 경우 이 기능은 다음과 같은 도메인 측면을 암호화합니다.

  • 인덱스

  • Elasticsearch 로그

  • 전환 파일

  • 애플리케이션 디렉터리의 모든 기타 데이터

  • 자동 스냅샷

유휴 시 데이터 암호화를 활성화할 때 다음은 암호화되지 않지만 추가 단계를 수행하여 보호할 수 있습니다.

Amazon ES에서는 비대칭이 아닌 대칭 고객 마스터 키만 지원합니다. 대칭 고객 마스터 키를 생성하는 방법에 대해 알아보려면 키 생성 in the AWS Key Management Service Developer Guide.

유휴 시 데이터 암호화가 활성화되었는지 여부에 관계없이 모든 도메인은 AES-256 및 Amazon ES 관리형 키를 사용하여 사용자 지정 패키지를 자동으로 암호화합니다.

유휴 시 데이터 암호화 활성화

기존 도메인에서는 유휴 상태의 암호화를 활성화할 수 없으며 새 도메인에서만 암호화를 활성화할 수 있습니다. 유휴 시 데이터 암호화에는 Elasticsearch 5.1 이상이 필요합니다.

Amazon ES 콘솔로 유휴 데이터를 암호화하는 도메인을 생성하려면, AWS KMS에 다음 자격 증명 기반 정책과 같은 읽기 전용 권한이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

(기본값) aws/es 외의 키를 사용하려면 그 키에 권한을 생성할 권한도 있어야 합니다. 이러한 권한은 보통 키를 만들 때 지정하는 리소스 기반 정책의 형식입니다.

키를 Amazon ES에만 적용하려면 키 정책에 kms:ViaService 조건을 추가하면 됩니다.

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

자세한 내용은 AWS KMS의 주요 정책 사용 in the AWS Key Management Service Developer Guide.

주의

도메인을 암호화하는 데 사용한 키를 삭제하면 도메인을 액세스할 수 없게 됩니다. Amazon ES 팀에서 데이터를 복구하는 데 도움을 줄 수 없습니다. 최소 7일 동안의 대기 기간이 지나야 AWS KMS에서 마스터 키를 삭제하므로 도메인이 위험 상태임을 감지했을 경우 Amazon ES 팀에서 사용자에게 연락할 수 있습니다.

유휴 시 데이터 암호화 비활성화

유휴 시 데이터를 암호화하기 위해 도메인을 구성한 후 설정을 비활성화할 수 없습니다. 대신 기존 도메인의 수동 스냅샷을 가져와 다른 도메인을 생성하고, 데이터를 마이그레이션하며, 이전 도메인을 삭제할 수 있습니다.

유휴 시 데이터를 암호화하는 도메인 모니터링

저장 시 데이터를 암호화하는 도메인은 두 개의 추가 메트릭을 가집니다. KMSKeyError and KMSKeyInaccessible. 이러한 메트릭은 도메인이 암호화 키에 문제가 있는 경우에만 나타납니다. 이러한 지표에 대한 자세한 설명은 클러스터 지표 단원을 참조하십시오. 이들은 Amazon ES 콘솔 또는 Amazon CloudWatch 콘솔을 사용하여 확인하거나 변경할 수 있습니다.

작은 정보

각 지표는 도메인과 관련된 중요한 문제를 나타내므로 모두를 위한 CloudWatch 경보를 생성하는 것이 좋습니다. 자세한 정보는 권장되는 CloudWatch 경보 단원을 참조하십시오.

기타 고려 사항

  • 자동 키 교체 기능은 AWS KMS 마스터 키의 속성을 그대로 보존하기 때문에 키가 교체되더라도 Elasticsearch 데이터에 대한 액세스 권한에는 아무런 영향도 끼치지 않습니다. 암호화된 Amazon ES 도메인은 새로운 마스터 키를 생성하거나 이전 키에 대한 모든 참조를 업데이트하는 수동 키 교체를 지원하지 않습니다. 자세한 내용은 고객 마스터 키 회전 in the AWS Key Management Service Developer Guide.

  • 특정 인스턴스 유형은 유휴 데이터의 암호화를 지원하지 않습니다. 자세한 내용은 지원되는 인스턴스 유형 단원을 참조하십시오.

  • 유휴 시 데이터를 암호화하는 도메인의 경우 자동 스냅샷을 위해 다른 리포지토리 이름을 사용합니다. 자세한 정보는 스냅샷 복원 단원을 참조하십시오.

  • Amazon ES 도메인 암호화에는 하나의 권한이 필요하고 각 암호화 키에는 보안 주체당 500개의 권한 제한이 있습니다. 이 제한은 단일 키를 사용하여 암호화할 수 있는 최대 Amazon ES 도메인 수가 500개임을 의미합니다. 현재 Amazon ES는 한 리전에서 계정당 최대 100개의 도메인을 지원하므로 이 권한 제한은 중요하지 않습니다. 그러나 계정당 도메인 제한이 늘어나면 권한 제한이 적절해질 수 있습니다.

    그때 500개 이상의 도메인을 암호화해야 하는 경우 추가 키를 생성할 수 있습니다. 키는 전0역이 아닌 리전이므로 여러 AWS 리전에서 동작하는 경우 다수의 키가 필요합니다.