Amazon S3 이벤트 크롤러에서 암호화 사용

이 섹션에서는 SQS에서만 또는 SQS와 Amazon S3 둘 다에서 암호화를 사용하는 방법을 설명합니다.

SQS에서만 암호화 사용 설정

Amazon SQS는 기본값으로 전송 중 암호화를 제공합니다. 선택 사항인 서버 측 암호화(SSE)를 대기열에 추가하려면 편집 패널에서 고객 마스터 키(CMK)를 첨부할 수 있습니다. 즉, SQS가 SQS 서버에 저장된 모든 고객 데이터를 암호화합니다.

고객 마스터 키(CMK) 생성

1. 키 관리 서비스(KMS)(Key Management Service (KMS)) > 고객 관리형 키(Customer Managed Keys) > 키 생성(Create key)을 선택합니다.

2. 단계에 따라 고유한 별칭과 설명을 추가합니다.

3. 이 키의 사용을 허용하려는 해당 IAM 역할을 추가합니다.

4. 사용자 지정 키 정책이 Amazon SNS에 충분한 키 사용 권한을 부여하도록 키 정책의 '문(Statement)' 목록에 또 다른 문을 추가합니다.

    "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "sns.amazonaws.com"
               },
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "*"
           }
    ]
   				

대기열에서 서버 측 암호화(SSE) 사용

1. Amazon SQS > 대기열(Queues) > sqs_queue_name > 암호화(Encryption) 탭을 선택합니다.

2. 편집(Edit)을 선택하고 암호화(Encryption) 드롭다운까지 아래로 스크롤합니다.

3. 사용(Enabled)을 선택하여 SSE를 추가합니다.

4. 이름이 alias/aws/sqs인 기본 키가 아니라 앞서 생성한 CMK를 선택합니다.

   

   이 키를 추가하면 암호화(Encryption) 탭이 추가한 키로 업데이트됩니다.

   

참고

Amazon SQS는 최대 메시지 보존 기간 넘게 대기열에 유지된 메시지를 자동으로 삭제합니다. 기본 메시지 보존 기간은 4일입니다. 누락 이벤트를 방지하려면 SQS MessageRetentionPeriod를 최대값인 14일로 변경합니다.

SQS와 Amazon S3 둘 다에서 암호화 사용 설정

SQS에서 서버 측 암호화(SSE) 사용

1. SQS에서만 암호화 사용 설정 단원의 단계를 따르세요.

2. CMK 설정의 마지막 단계에서 Amazon S3에 충분한 키 사용 권한을 부여합니다.

   '문(Statement)' 목록에 다음을 붙여넣습니다.

    "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "s3.amazonaws.com"
               },
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "*"
           }
    ]
   		  

Amazon S3 버킷에서 서버 측 암호화(SSE) 사용 설정

1. SQS에서만 암호화 사용 설정 단원의 단계를 따르세요.

2. 다음 중 하나를 수행하십시오.

   • 전체 S3 버킷에서 SSE를 사용하려면 대상 버킷의 속성(Properties) 탭으로 이동합니다.

     여기서 SSE를 사용하도록 설정하고 사용할 암호화 유형을 선택할 수 있습니다. Amazon S3에서 자동으로 생성, 관리, 사용하는 암호화 키가 제공됩니다. 또는 KMS에서 키를 선택할 수도 있습니다.

     

   • 특정 폴더에서 SSE를 사용하려면 대상 폴더 옆의 확인란을 클릭하고 작업(Actions) 드롭다운 아래에 있는 서버 측 암호화 편집(Edit server-side encryption)을 선택합니다.

     

FAQ

Amazon SNS 주제에 게시한 메시지가 서버 측 암호화(SSE)를 사용하는 구독한 Amazon SQS 대기열로 전달되지 않는 이유는 무엇입니까?

Amazon SQS 대기열에서 다음을 사용하고 있는지 다시 확인합니다.

1. 고객 관리형인 고객 마스터 키(CMK). SQS에서 제공하는 기본 키가 아닙니다.

2. Amazon SNS에 충분한 키 사용 권한을 부여하는 사용자 지정 키 정책이 (1)의 CMK에 포함되어 있습니다.

자세한 내용은 지식 센터에서 이 문서를 참조하세요.

이메일 알림을 구독했지만 Amazon S3 버킷을 편집할 때 이메일 업데이트가 수신되지 않습니다.

이메일에서 '구독 확인(Confirm Subscription)' 링크를 클릭하여 이메일 주소를 확인했는지 확인합니다. SNS 주제 아래에 있는 구독(Subscriptions) 테이블을 검사하여 확인 상태를 확인할 수 있습니다.

Amazon SNS > 주제(Topics) > sns_topic_name > 구독 테이블(Subscriptions table)을 선택합니다.

사전 조건 스크립트를 수행한 경우 sns_topic_name은 sqs_queue_name과 같습니다. 예를 들면 다음과 같아야 합니다.

SQS 대기열에서 서버 측 암호화를 사용하도록 설정한 후 추가한 폴더 중 일부만 테이블에 표시됩니다. 일부 parquet가 누락되는 이유는 무엇입니까?

SQS 대기열에서 SSE를 사용하도록 설정하기 전에 Amazon S3 버킷을 변경한 경우 크롤러가 해당 변경 사항을 픽업하지 않을 수 있습니다. S3 버킷에 대한 모든 업데이트를 크롤링했는지 확인하려면 목록 모드로 크롤러를 다시 실행합니다('모든 폴더 크롤링(Crawl All Folders)'). 또 다른 옵션은 S3 이벤트가 사용되는 새 크롤러를 생성하여 새로 시작하는 것입니다.