Amazon Elasticsearch Service
개발자 가이드 (API 버전 2015-01-01)

Amazon Elasticsearch Service에 대한 유휴 데이터 암호화

Amazon ES 도메인은 유휴 시 데이터 암호화, 데이터 무단 액세스를 방지하는 보안 기능을 제공합니다. 이 기능은 AWS Key Management Service(AWS KMS)를 사용하여 암호화 키를 저장 및 관리하며, 256비트 키를 사용하는 고급 암호화 표준 알고리즘(AES-256)을 통해 암호화를 수행합니다. 활성화된 경우 이 기능은 다음과 같은 도메인 측면을 암호화합니다.

  • 인덱스

  • Elasticsearch 로그

  • 전환 파일

  • 애플리케이션 디렉터리의 모든 기타 데이터

  • 자동 스냅샷

유휴 시 데이터 암호화를 활성화할 때 다음은 암호화되지 않지만 추가 단계를 수행하여 보호할 수 있습니다.

AWS KMS 마스터 키를 생성하는 방법에 대한 자세한 내용은 AWS Key Management Service Developer Guide에서 키 생성을 참조하십시오.

유휴 시 데이터 암호화 활성화

기본적으로 도메인은 유휴 시 데이터를 암호화하지 않으므로 나중에 사용하기 위해 기존 도메인을 구성할 수 없습니다. 기능을 활성화하려면 다른 도메인을 생성하고 데이터를 마이그레이션해야 합니다. 유휴 시 데이터 암호화에는 Elasticsearch 5.1 이상이 필요합니다.

Amazon ES 콘솔로 유휴 데이터를 암호화하는 도메인을 생성하려면, AWS KMS에 다음 자격 증명 기반 정책과 같은 읽기 전용 권한이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

(기본값) aws/es 외의 키를 사용하려면 그 키에 권한을 생성할 권한도 있어야 합니다. 이러한 권한은 보통 키를 만들 때 지정하는 리소스 기반 정책의 형식입니다.

키를 Amazon ES에만 적용하려면 키 정책에 kms:ViaService 조건을 추가하면 됩니다.

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

자세한 내용은 AWS Key Management Service Developer GuideAWS KMS에서 키 정책 사용을 참조하십시오.

주의

도메인을 암호화하는 데 사용한 키를 삭제하면 도메인을 액세스할 수 없게 됩니다. Amazon ES 팀에서 데이터를 복구하는 데 도움을 줄 수 없습니다. 최소 7일 동안의 대기 기간이 지나야 AWS KMS에서 마스터 키를 삭제하므로 도메인이 위험 상태임을 감지했을 경우 Amazon ES 팀에서 사용자에게 연락할 수 있습니다.

유휴 시 데이터 암호화 비활성화

유휴 시 데이터를 암호화하기 위해 도메인을 구성한 후 설정을 비활성화할 수 없습니다. 대신 기존 도메인의 수동 스냅샷을 가져와 다른 도메인을 생성하고, 데이터를 마이그레이션하며, 이전 도메인을 삭제할 수 있습니다.

유휴 시 데이터를 암호화하는 도메인 모니터링

유휴 데이터를 암호화하는 도메인에는 2개의 추가 지표 KMSKeyErrorKMSKeyInaccessible이 있습니다. 이러한 지표는 도메인에 암호화 키 문제가 있을 때만 나타납니다. 이러한 지표에 대한 자세한 설명은 클러스터 지표 단원을 참조하십시오. 이들은 Amazon ES 콘솔 또는 Amazon CloudWatch 콘솔을 사용하여 확인하거나 변경할 수 있습니다.

작은 정보

각 지표는 도메인과 관련된 중요한 문제를 나타내므로 모두를 위한 CloudWatch 경보를 생성하는 것이 좋습니다. 자세한 내용은 권장되는 CloudWatch 경보 단원을 참조하십시오.

기타 고려 사항

  • 자동 키 교체 기능은 AWS KMS 마스터 키의 속성을 그대로 보존하기 때문에 키가 교체되더라도 Elasticsearch 데이터에 대한 액세스 권한에는 아무런 영향도 끼치지 않습니다. 암호화된 Amazon ES 도메인은 새로운 마스터 키를 생성하거나 이전 키에 대한 모든 참조를 업데이트하는 수동 키 교체를 지원하지 않습니다. 자세한 내용은 AWS Key Management Service Developer Guide에서 고객 마스터 키 교체를 참조하십시오.

  • 특정 인스턴스 유형은 유휴 데이터의 암호화를 지원하지 않습니다. 자세한 내용은 지원되는 인스턴스 유형 단원을 참조하십시오.

  • cn-north-1(베이징) 및 cn-northwest-1(닝샤) 리전에서는 유휴 데이터 암호화를 사용할 수 없습니다.

  • Kibana는 유휴 데이터를 암호화하는 도메인에서 계속 작동합니다.

  • 유휴 시 데이터를 암호화하는 도메인의 경우 자동 스냅샷을 위해 다른 리포지토리 이름을 사용합니다. 자세한 내용은 스냅샷 복원 단원을 참조하십시오.

  • Amazon ES 도메인 암호화에는 두 개의 권한이 필요하고 각 암호화 키에는 보안 주체당 500개의 권한 제한이 있습니다. 이 제한은 단일 키를 사용하여 암호화할 수 있는 최대 Amazon ES 도메인 수가 250개임을 의미합니다. 현재 Amazon ES는 한 리전에서 계정당 최대 100개의 도메인을 지원하므로 이 권한 제한은 중요하지 않습니다. 그러나 계정당 도메인 제한이 늘어나면 권한 제한이 적절해질 수 있습니다.

    그때 250개 이상의 도메인을 암호화해야 하는 경우 추가 키를 생성할 수 있습니다. 키는 전0역이 아닌 리전이므로 여러 AWS 리전에서 동작하는 경우 다수의 키가 필요합니다.