Amazon Elastic Block Store(AmazonEBS)의 사용 방식 AWS KMS

이 주제에서는 Amazon Elastic Block Store(Amazon EBS)가 볼륨 및 스냅샷을 암호화하는 AWS KMS 데 를 사용하는 방법을 자세히 설명합니다. Amazon EBS 볼륨 암호화에 대한 기본 지침은 Amazon EBS 암호화를 참조하세요.

Amazon EBS 암호화

암호화된 Amazon EBS 볼륨을 지원되는 Amazon Elastic Compute Cloud(AmazonEC2) 인스턴스 유형 에 연결하면 볼륨에 저장된 데이터, 디스크 I/O 및 볼륨에서 생성된 스냅샷이 모두 암호화됩니다. 암호화는 Amazon EC2 인스턴스를 호스팅하는 서버에서 발생합니다.

이 기능은 모든 Amazon EBS 볼륨 유형 에서 지원됩니다. 다른 볼륨에 액세스하는 것과 동일한 방식으로 암호화된 볼륨에 액세스합니다. 암호화 및 복호화는 투명하게 처리되며 사용자, EC2 인스턴스 또는 애플리케이션의 추가 작업이 필요하지 않습니다. 암호화된 볼륨의 스냅샷은 자동으로 암호화되며, 암호화된 스냅샷으로 생성한 볼륨도 자동으로 암호화됩니다.

EBS 볼륨의 암호화 상태는 볼륨을 생성할 때 결정됩니다. 기존 볼륨의 암호화 상태는 변경할 수 없습니다. 그러나 암호화된 볼륨과 암호화되지 않은 볼륨 사이에서 데이터를 마이그레이션하고 스냅샷을 복사하는 동안 새 암호화 상태를 적용할 수 있습니다.

Amazon은 기본적으로 선택적 암호화를 EBS 지원합니다. AWS 계정 및 리전의 모든 새 EBS 볼륨 및 스냅샷 사본에서 자동으로 암호화를 활성화할 수 있습니다. 이 구성 설정은 기존 볼륨이나 스냅샷에는 영향을 주지 않습니다. 자세한 내용은 Amazon 사용 설명서의 Amazon EBS 암호화를 참조하세요. EBS

KMS 키 및 데이터 키 사용

암호화된 Amazon EBS 볼륨을 생성할 때 를 지정합니다 AWS KMS key. 기본적으로 Amazon은 계정()EBS에서 AmazonAWS 관리형 키용 를 EBS 사용합니다aws/ebs. 그러나 사용자가 자신이 생성 및 관리하는 고객 관리형 키를 지정할 수 있습니다.

고객 관리형 키를 사용하려면 Amazon에 사용자를 대신하여 KMS 키를 사용할 수 있는 EBS 권한을 부여해야 합니다. 필요한 권한 목록은 Amazon EC2 사용 설명서 또는 Amazon EC2 사용 설명서의 IAM 사용자 권한을 참조하세요.

중요

Amazon은 대칭 KMS 키만 EBS 지원합니다. 비대칭 KMS 키를 사용하여 Amazon EBS 볼륨을 암호화할 수 없습니다. KMS 키가 대칭인지 비대칭인지 확인하는 데 도움이 필요하면 섹션을 참조하세요다양한 키 유형 식별.

Amazon은 각 볼륨에 대해 지정한 키로 암호화된 고유한 데이터 KMS 키를 생성 AWS KMS 하도록 EBS 요청합니다. Amazon은 암호화된 데이터 키를 볼륨과 함께 EBS 저장합니다. 그런 다음 볼륨을 Amazon EC2 인스턴스에 연결하면 Amazon은 를 EBS 호출 AWS KMS 하여 데이터 키를 복호화합니다. AmazonEBS은 하이퍼바이저 메모리의 일반 텍스트 데이터 키를 사용하여 모든 디스크 I/O를 볼륨에 암호화합니다. 자세한 내용은 Amazon EC2 사용 설명서 또는 Amazon EC2 사용 설명서의 EBS 암호화 작동 방식을 참조하세요.

Amazon EBS 암호화 컨텍스트

에 대한 GenerateDataKeyWithoutPlaintext 및 복호화 요청에서 AWS KMS Amazon은 요청의 볼륨 또는 스냅샷을 식별하는 이름-값 페어가 있는 암호화 컨텍스트를 EBS 사용합니다. 암호화 컨텍스트의 이름은 달라지지 않습니다.

암호화 컨텍스트는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하면 AWS KMS 암호화 컨텍스트가 암호화된 데이터에 암호화 컨텍스트를 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.

Amazon EBS CreateSnapshot 작업으로 생성된 모든 볼륨 및 암호화된 스냅샷의 경우 Amazon은 볼륨 ID를 암호화 컨텍스트 값으로 EBS 사용합니다. 로그 항목 requestParameters 필드에서 CloudTrail 암호화 컨텍스트는 다음과 비슷합니다.

"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}

Amazon EC2 CopySnapshot 작업으로 생성된 암호화된 스냅샷의 경우 Amazon은 스냅샷 ID를 암호화 컨텍스트 값으로 EBS 사용합니다. 로그 항목 requestParameters 필드에서 CloudTrail 암호화 컨텍스트는 다음과 비슷합니다.

"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}

Amazon EBS 장애 감지

암호화된 EBS 볼륨을 생성하거나 EC2 인스턴스에 볼륨을 연결하려면 AmazonEBS과 Amazon EC2 인프라가 EBS 볼륨 암호화에 지정한 KMS 키를 사용할 수 있어야 합니다. 예를 들어 KMS 키 상태가 아닌 경우와 같이 키를 사용할 수 없는 경우 볼륨 생성 또는 볼륨 연결Enabled에 실패합니다.

이 경우 Amazon은 Amazon EventBridge (이전 CloudWatch Events)에 이벤트를 EBS 전송하여 실패를 알립니다. 에서 이러한 이벤트에 대한 응답으로 자동 작업을 트리거하는 규칙을 설정할 EventBridge수 있습니다. 자세한 내용은 Amazon EC2 사용 설명서의 Amazon CloudWatch Events for AmazonEBS, 특히 다음 섹션을 참조하세요.

• 볼륨 연결 또는 다시 연결에 유효하지 않은 암호화 키

• 볼륨 생성에 유효하지 않은 암호화 키

이러한 실패를 해결하려면 EBS 볼륨 암호화에 지정한 KMS 키가 활성화되어 있는지 확인합니다. 이렇게 하려면 먼저 KMS 키를 보고 현재 키 상태(의 상태 열)를 확인합니다 AWS Management Console. 그리고 다음 링크 중 하나에서 정보를 참조합니다.

• KMS 키의 키 상태가 비활성화된 경우 키 상태를 활성화합니다.

• KMS 키의 키 상태가 가져오기 보류 중인 경우 키 구성 요소 를 가져옵니다.

• KMS 키의 키 상태가 삭제 보류 중인 경우 키 삭제를 취소합니다.

AWS CloudFormation 를 사용하여 암호화된 Amazon EBS 볼륨 생성

를 사용하여 암호화된 Amazon EBS 볼륨AWS CloudFormation을 생성할 수 있습니다. 자세한 내용은 AWS CloudFormation 사용 설명서의 AWS::EC2::Volume을 참조하세요.