Amazon S3의 File Gateway에 저장된 객체 암호화

S3 File Gateway는 Amazon S3에 저장하는 데이터에 대해 다음과 같은 서버 측 암호화 방법을 지원합니다.

• SSE-S3 - 기본적으로 Amazon S3 버킷에 업로드된 모든 새 객체는 Amazon S3 관리형 키를 사용한 서버 측 암호화를 사용합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 관리형 키로 서버 측 암호화 사용을 참조하세요.

• SSE-KMS - AWS Key Management Service (AWS KMS) 관리형 키를 사용한 서버 측 암호화를 사용하도록 파일 공유를 구성할 수 있습니다. AWS KMS 는 안전하고 가용성이 높은 하드웨어와 소프트웨어를 결합하여 클라우드에 맞게 확장된 키 관리 시스템을 제공하는 서비스입니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS Key Management Service란 무엇입니까?를 참조하세요.

• DSSE-KMS - AWS KMS 키를 사용한 이중 계층 서버 측 암호화는 객체가 Amazon S3에 업로드될 때 객체에 두 계층의 암호화를 적용합니다. 이를 통해 계층 암호화에 대한 규정 준수 표준을 충족할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 AWS KMS 키를 사용한 이중 계층 서버 측 암호화 사용을 참조하세요.

  참고

  DSSE-KMS 및 AWS KMS 키 사용에는 추가 요금이 부과됩니다. 자세한 내용은 AWS KMS 요금을 참조하십시오.

Storage Gateway 콘솔 또는 Storage Gateway API를 사용하여 새 파일 공유를 생성할 때 암호화 방법을 지정할 수 있습니다. 콘솔 절차는 사용자 지정 구성을 사용하여 NFS 파일 공유 생성 또는 단원을 참조하십시오사용자 지정 구성을 사용하여 SMB 파일 공유 생성. 해당 API 명령에 대한 자세한 내용은 Storage Gateway API 참조의 CreateNFSFileShare 또는 CreateSMBFileShare를 참조하세요. AWS Storage Gateway

Storage Gateway 콘솔 또는 Storage Gateway API를 사용하여 기존 파일 공유의 암호화 설정을 업데이트할 수도 있습니다. 콘솔 절차는 단원을 참조하십시오기존 파일 공유의 서버 측 암호화 방법 변경. 해당 API 명령에 대한 자세한 내용은 Storage Gateway API 참조의 UpdateNFSFileShare 또는 UpdateSMBFileShare를 참조하세요. AWS Storage Gateway

참고

암호화 방법을 업데이트하면 게이트웨이는 Amazon S3에서 생성하는 모든 새 객체와 향후 업데이트하거나 수정하는 모든 저장된 객체에 대해 새 방법을 사용합니다. 기존 Amazon S3 객체는 게이트웨이에 의해 업데이트되거나 수정된 경우에만 새 암호화 방법을 수신합니다.

중요

파일 공유가 데이터를 저장하는 Amazon S3 버킷과 동일한 암호화 유형을 사용하는지 확인합니다.

암호화에 SSE-KMS 또는 DSSE-KMS를 사용하도록 File Gateway를 구성하는 경우 파일 공유와 연결된 IAM 역할에 kms:Encrypt, kms:Decryptkms:ReEncrypt*, kms:GenerateDataKey, 및 kms:DescribeKey 권한을 수동으로 추가해야 합니다. 자세한 내용은 Storage Gateway에 대한 자격 증명 기반 정책(IAM 정책) 사용을 참조하세요.