Amazon Elasticsearch Service 를 위한 유휴 데이터 암호화 - Amazon Elasticsearch Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Elasticsearch Service 를 위한 유휴 데이터 암호화

Amazon ES 도메인은 유휴 데이터 무단 액세스를 방지하는 보안 기능인 유휴 데이터 암호화를 제공합니다. 이 기능은 AWS KMS (키 관리 서비스) 를 사용하여 암호화 키를 저장 및 관리하며, 256비트 키를 사용하는 고급 암호화 표준 알고리즘 (AES-256) 을 통해 암호화를 수행합니다. 활성화된 경우 이 기능은 다음과 같은 도메인 측면을 암호화합니다.

  • 모든 인덱스 (UltraWarm 저장 장치 포함)

  • Elasticsearch

  • 전환 파일

  • 애플리케이션 디렉터리의 모든 기타 데이터

  • 자동 스냅샷

유휴 시 데이터 암호화를 활성화할 때 다음은 암호화되지 않지만 추가 단계를 수행하여 보호할 수 있습니다.

  • 수동 스냅샷 수: 현재 수동 스냅샷을 암호화하는 데 KMS 마스터 키를 사용할 수 없습니다. 그러나 스냅샷 리포지토리로 사용하는 버킷을 암호화하기 위해 S3 관리형 키 또는 고객 마스터 키 (CMK) 와 함께 서버 측 암호화를 사용할 수 있습니다. 지침은 수동 스냅샷 리포지토리 등록을 참조하십시오.

  • 느린 로그 및 오류 로그: 만약 당신이로그 게시를 입력하여 암호화하려는 경우 Amazon ES 도메인과 동일한 AWS KMS 마스터 키를 사용하여 CloudWatch Logs 로그 그룹을 암호화할 수 있습니다. 자세한 내용은 단원을 참조하십시오.AWS KMS 를 사용하여 CloudWatch Logs 에서 로그 데이터를 암호화합니다.Amazon CloudWatch Logs 사용자 안내서를 선택합니다.

Amazon ES는 비대칭이 아닌 대칭 고객 마스터 키만 지원합니다. 대칭 고객 마스터 키를 생성하는 방법을 알아보려면키 생성AWS Key Management Service 개발자 안내서를 선택합니다.

유휴 상태의 암호화가 사용되는지 여부와 관계없이 모든 도메인이 자동으로 암호화사용자 지정 패키지AES-256 및 아마존 ES에서 관리하는 키를 사용합니다.

유휴 데이터 암호화 활성화

새 도메인에 유휴 데이터를 암호화하려면 Elasticsearch 5.1 이상이 필요합니다. 기존 도메인에서 이 기능을 사용하려면 Elasticsearch 6.7 이상이 필요합니다. AWS 콘솔에서 기존 도메인을 선택합니다.Actions, 및암호화 수정를 선택합니다.

Amazon ES 콘솔을 사용하여 유휴 데이터 암호화를 구성하려면 다음 자격 증명 기반 정책과 같은 AWS KMS 에 대한 읽기 권한이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

이외의 마스터 키를 사용하려는 경우(기본값) AWS/es를 생성할 권한이 있어야 합니다.보조금키입니다. 이러한 권한은 보통 키를 만들 때 지정하는 리소스 기반 정책의 형식입니다.

키를 Amazon ES에만 적용하려면kms:ViaService조건을 해당 키 정책에 추가합니다.

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

자세한 내용은 단원을 참조하십시오.AWS KMS에서 키 정책 사용AWS Key Management Service 개발자 안내서를 선택합니다.

주의

도메인을 암호화하는 데 사용한 키를 삭제하면 도메인을 액세스할 수 없게 됩니다. Amazon ES 팀은 데이터 복구를 도와드릴 수 없습니다. AWS KMS 는 최소 7일 동안의 대기 기간이 지나야 에서 마스터 키를 삭제하므로 도메인이 위험 상태임을 감지했을 경우 Amazon ES 팀에서 사용자에게 연락할 수 있습니다.

유휴 데이터 암호화 비활성화

유휴 시 데이터를 암호화하기 위해 도메인을 구성한 후 설정을 비활성화할 수 없습니다. 대신 기존 도메인의 수동 스냅샷을 가져와 다른 도메인을 생성하고, 데이터를 마이그레이션하며, 이전 도메인을 삭제할 수 있습니다.

유휴 데이터를 암호화하는 도메인 모니터링

유휴 데이터를 암호화하는 도메인에는 2개의 추가 지표가 있습니다. KMSKeyErrorKMSKeyInaccessible를 선택합니다. 이러한 지표는 도메인에 암호화 키 문제가 있을 때만 나타납니다. 이러한 지표에 대한 자세한 설명은 클러스터 지표 단원을 참조하십시오. Amazon ES 콘솔 또는 Amazon CloudWatch 콘솔을 사용하여 확인할 수 있습니다.

작은 정보

각 지표는 도메인과 관련된 중요한 문제를 나타내므로 모두에 대해 CloudWatch 경보를 생성하는 것이 좋습니다. 자세한 내용은 Amazon Elasticsearch Service 에 권장되는 CloudWatch 경보 단원을 참조하세요.

기타 고려 사항

  • 자동 키 교체 기능은 AWS KMS 마스터 키의 속성을 그대로 보존하기 때문에 Elasticsearch 데이터에 대한 액세스 권한에는 아무런 영향도 끼치지 않습니다. 암호화된 Amazon ES 도메인은 새 마스터 키를 생성하거나 이전 키에 대한 모든 참조를 업데이트하는 수동 키 교체를 지원하지 않습니다. 자세한 내용은 다음을 참조하세요.고객 마스터 키 교체AWS Key Management Service 개발자 안내서를 선택합니다.

  • 특정 인스턴스 유형은 유휴 데이터의 암호화를 지원하지 않습니다. 세부 정보는 Amazon Elasticsearch Service 에서 지원되는 인스턴스 유형 단원을 참조하십시오.

  • 유휴 시 데이터를 암호화하는 도메인의 경우 자동 스냅샷을 위해 다른 리포지토리 이름을 사용합니다. 자세한 내용은 스냅샷 복원 단원을 참조하세요.

  • Amazon ES 도메인을 암호화하려면권한 부여이며 각 암호화 키에는limit교장 당 500 보조금. 이 제한은 단일 키를 사용하여 암호화할 수 있는 최대 Amazon ES 도메인 수가 500개임을 의미합니다. 현재 Amazon ES는 리전당 계정당 최대 100개의 도메인을 지원하므로 이 권한 제한은 중요하지 않습니다. 그러나 계정당 도메인 제한이 늘어나면 권한 제한이 적절해질 수 있습니다.

    그때 500개 이상의 도메인을 암호화해야 하는 경우 추가 키를 생성할 수 있습니다. 키는 전0역이 아닌 리전이므로 여러 AWS 리전에서 동작하는 경우 다수의 키가 필요합니다.