데이터 암호화 옵션 - Amazon Elastic Transcoder

데이터 암호화 옵션

파일을 Amazon S3에 저장하는 동안 트랜스코딩 작업에 사용하려는 입력 파일과 출력 파일을 암호화함으로써 Elastic Transcoder 데이터를 보호할 수 있습니다. 이러한 데이터에는 입력 파일, 출력 파일, 및 기타 썸네일, 캡션, 입력 워터마크 또는 입력 앨범 아트 등이 포함됩니다. 재생 목록과 메타데이터는 암호화되지 않습니다.

—파이프라인, Amazon S3 버킷, AWS Key Management Service 키를 비롯한 모든 작업 리소스 파일은 동일한 AWS 리전에 있어야 합니다.—

암호화 옵션

Elastic Transcoder는 두 가지 기본 암호화 옵션을 지원합니다.

  • Amazon S3 서버 측 암호화: AWS가 암호화 프로세스를 관리합니다. 예를 들어 Elastic Transcoder는 Amazon S3를 호출하고, Amazon S3는 데이터를 암호화하여 데이터 센터의 디스크에 저장한 후 데이터가 다운로드될 때 데이터를 해독합니다.

    기본적으로 Amazon S3 버킷은 암호화된 파일과 암호화되지 않은 파일을 모두 수락하지만, 암호화된 파일만 수락하도록 Amazon S3 버킷을 설정할 수 있습니다. Elastic Transcoder가 Amazon S3 버킷에 대해 액세스 권한이 있으면 권한을 변경할 필요가 없습니다.

    Amazon S3 서버 측 암호화에 대한 자세한 내용은 Amazon Simple Storage Service 개발자 가이드서버 측 암호화를 사용하여 데이터 보호 단원을 참조하십시오. AWS KMS 키에 대한 자세한 내용은 AWS Key Management Service Developer GuideAWS Key Management Service란 무엇입니까?를 참조하십시오.

    참고

    AWS-KMS 키를 사용하면 추가 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하십시오.

  • 고객 제공 키를 사용하여 클라이언트 측 암호화: Elastic Transcoder는 클라이언트 제공 암호화 키를 사용하여 사용자가 이미 암호화한 입력 파일을 해독하거나 출력 파일을 Amazon S3에 저장하기 전에 암호화할 수도 있습니다. 이 경우에는 사용자가 암호화 키와 관련 도구를 관리합니다.

    Elastic Transcoder가 클라이언트 제공 키를 사용하여 파일을 트랜스코딩하게 하려면, 파일을 암호화하는 데 사용했던 AWS KMS 암호화 키, 체크섬으로 사용할 키의 MD5, Elastic Transcoder가 출력 파일을 암호화할 때 사용하게 하려는 초기화 벡터(또는 무작위 비트 생성기가 생성한 무작위 비트 시리즈)가 작업 요청에 포함되어야 합니다.

    Elastic Transcoder는 AWS KMS 마스터 키를 사용하여 암호화된 고객 제공 키만 사용할 수 있으며, Elastic Transcoder는 마스터 키를 사용할 수 있는 권한을 받아야 합니다. 키를 암호화하려면 다음 정보를 포함하는 암호화 호출을 사용하여 AWS KMS를 프로그래밍 방식으로 호출해야 합니다.

    { "EncryptionContext": { "service" : "elastictranscoder.amazonaws.com" }, "KeyId": "The ARN of the key associated with your pipeline", "Plaintext": blob that is your AES key }
    중요

    프라이빗 암호화 키와 암호화되지 않은 데이터는 AWS;에서 절대로 저장하지 않으므로 암호화 키를 안전하게 관리하는 것이 중요합니다. 암호화 키를 잃어버릴 경우 데이터의 암호를 해독할 수 없습니다.

    Elastic Transcoder에 키를 사용할 수 있는 권한을 부여하려면 Using AWS KMS with Elastic Transcoder 단원을 참조하십시오.

    데이터 암호화에 대한 자세한 내용은 AWS KMS API 참조데이터 암호화 및 해독을 참조하십시오. 컨텍스트에 대한 자세한 내용은 AWS Key Management Service Developer Guide암호화 컨텍스트를 참조하십시오.

    클라이언트 제공 키에 대한 자세한 내용은 Amazon Simple Storage Service 개발자 가이드서버 측 암호화와 고객 제공 암호화 키로 데이터 보호를 참조하십시오.

Elastic Transcoder 콘솔을 사용하여 파일을 해독하고 암호화할 때 필요한 설정에 대한 정보는 (선택 사항) 출력 암호화를 참조하십시오. Elastic Transcoder API를 사용하여 파일을 해독하고 암호화할 때 필요한 설정에 대한 정보는 Encryption 요소로 시작하는 작업 만들기 API 작업을 참조하십시오.

Using AWS KMS with Elastic Transcoder

AWS Key Management Service(AWS KMS)와 Elastic Transcoder를 사용하여, 데이터 암호화에 사용되는 암호화 키를 생성하고 관리할 수 있습니다. AWS KMS를 사용하도록 Elastic Transcoder를 설정하려면 다음 항목이 필요합니다.

  • Elastic Transcoder 파이프라인

  • Elastic Transcoder 파이프라인과 연결된 IAM 역할

  • AWS KMS 키

  • AWS KMS 키의 ARN

다음 절차는 기존 리소스를 식별하는 방법 또는 새로운 리소스를 만드는 방법을 보여줍니다.

Elastic Transcoder에서 AWS KMS를 사용하기 위한 준비

파이프라인을 생성하려면

파이프라인과 연결된 IAM 역할을 식별하려면

  1. AWS Management 콘솔에 로그인하고 https://console.aws.amazon.com/elastictranscoder/에서 Elastic Transcoder 콘솔을 엽니다.

  2. 탐색 창에서 [Pipelines]를 클릭합니다.

  3. 파이프라인 이름 옆에 있는 돋보기 아이콘을 클릭합니다.

  4. [Permissions] 섹션을 클릭하여 확장합니다.

  5. IAM 역할을 메모해 둡니다. Elastic Transcoder가 생성한 기본 역할을 사용하는 경우 이 역할은 Elastic_Transcoder_Default_Role입니다.

AWS KMS 키를 생성하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 키 생성 단계를 따릅니다.

AWS KMS 키의 ARN을 식별하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [Encryption Keys]를 클릭합니다.

  3. 리전 드롭다운 목록에서 해당 키와 파이프라인이 있는 리전을 선택합니다.

  4. 사용하려는 키를 클릭합니다.

  5. ARN을 메모해 둡니다.

콘솔을 사용하여 AWS KMS 키를 만들 수 있지만, 암호화 및 해독 API를 사용하여 AWS KMS 키로 데이터를 암호화하거나 해독해야 합니다. 자세한 내용은 데이터 암호화 및 해독을 참조하십시오.

Elastic Transcoder와 AWS KMS 연결

파이프라인, IAM 역할, AWS KMS 키를 만들었으면 이제 어떤 키를 사용할지 파이프라인에 알려 주고, 어떤 IAM 역할이 키를 사용할 수 있는지 키에 알려 주어야 합니다.

파이프라인에 AWS KMS 키를 추가하려면

  1. https://console.aws.amazon.com/elastictranscoder/에서 Elastic Transcoder 콘솔을 엽니다.

  2. AWS KMS 키와 함께 사용하려는 파이프라인을 선택하고 편집을 클릭합니다.

  3. [Encryption] 섹션을 클릭하여 확장하고 [AWS KMS Key ARN] 섹션에서 [Custom]을 선택합니다.

  4. AWS KMS 키의 ARN을 입력하고 저장을 클릭합니다.

IAM 역할을 AWS KMS 키에 추가하려면

해당 파이프라인과 연결된 IAM 역할을 사용하여 AWS KMS 키를 만들지 않은 경우 다음 절차에 따라 추가할 수 있습니다.

  1. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.

  2. 리전 드롭다운 목록에서 키와 파이프라인 생성할 때 선택했던 리전을 선택합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 오른쪽의 고객 관리형 키 섹션에서 사용하려는 키를 선택합니다.

  5. 키 사용자 섹션에서 추가를 선택합니다.

  6. 키 사용자 추가 페이지에서 해당 파이프라인과 연결된 역할을 검색하여 결과 페이지에서 선택하고 추가를 클릭합니다.

이제 AWS KMS 키를 Elastic Transcoder 파이프라인에 사용할 수 있습니다.