Amazon Relational Database Service(Amazon RDS)가 AWS KMS를 사용하는 방법 - AWS Key Management Service

Amazon Relational Database Service(Amazon RDS)가 AWS KMS를 사용하는 방법

Amazon Relational Database Service(Amazon RDS)를 사용하여 클라우드에서 관계형 데이터베이스를 설정, 운영 및 확장할 수 있습니다. 선택적으로 AWS KMS의 AWS KMS key(KMS 키)로 Amazon RDS DB 인스턴스에 저장된 데이터를 암호화하도록 선택할 수 있습니다. KMS 키로 Amazon RDS 리소스를 암호화하는 방법을 알아보려면 Amazon RDS 사용 설명서Amazon RDS 리소스 암호화를 참조하세요.

중요

Amazon RDS는 대칭 KMS 키만 지원합니다. 비대칭 KMS 키를 사용하여 Amazon RDS 데이터베이스의 데이터를 암호화할 수 없습니다. KMS 키가 대칭 또는 비대칭인지 여부를 확인하는 방법은 비대칭 KMS 키 식별 단원을 참조하세요.

Amazon RDS는 Amazon Elastic Block Store(Amazon EBS) 암호화를 기반으로 구축되어 데이터베이스 볼륨에 대한 전체 디스크 암호화를 제공합니다. AWS KMS가 어떻게 Amazon EBS를 이용해 볼륨을 암호화하는지 자세히 알아보려면 Amazon Elastic Block Store(Amazon EBS)에서 AWS KMS 사용 방법 섹션을 참조하세요.

Amazon RDS로 암호화된 DB 인스턴스를 생성하면 Amazon RDS가 자동으로 암호화된 EBS 볼륨을 생성해 데이터베이스를 저장합니다. 볼륨에 저장된 데이터, 데이터베이스 스냅샷, 자동 백업, 읽기 전용 복제본은 모두 사용자가 DB 인스턴스를 생성할 때 지정한 KMS 키 하에서 암호화됩니다.

Amazon RDS 암호화 컨텍스트

Amazon RDS가 사용자의 KMS 키를 사용하거나 Amazon EBS가 Amazon RDS를 대신하여 KMS 키를 사용하는 경우, 서비스가 암호화 컨텍스트를 지정합니다. 암호화 컨텍스트는 AWS KMS가 데이터 무결성을 보장하기 위해 사용하는 추가 인증 데이터(AAD)입니다. 암호화 작업에 대해 암호화 컨텍스트가 지정되면 서비스가 암호화 해제 작업에 대해 동일한 암호화 컨텍스트를 지정해야 합니다. 그렇지 않으면 암호화 해제가 실패합니다. 암호화 컨텍스트는 AWS CloudTrail 로그에도 기록되어, 해당 KMS 키가 사용된 이유를 이해하는 데 도움을 줍니다. CloudTrail 로그에 CMK 사용을 설명하는 여러 항목이 포함될 수 있지만, 각 로그 항목의 암호화 컨텍스트는 특히 해당 KMS 키를 사용한 이유를 파악하는 데 도움이 될 수 있습니다.

최소한, 다음 JSON 형식 예에서 보듯이 Amazon RDS는 항상 암호화 컨텍스트에 DB 인스턴스 ID를 사용합니다.

{ "aws:rds:db-id": "db-CQYSMDPBRZ7BPMH7Y3RTDG5QY" }

이 암호화 컨텍스트는 KMS 키가 사용된 DB 인스턴스를 식별하는 데 도움이 될 수 있습니다.

KMS 키가 특정 DB 인스턴스와 특정 EBS 볼륨에 사용되는 경우, 다음 JSON 형식 예에서 보듯이 암호화 컨텍스트에 DB 인스턴스 ID와 EBS 볼륨 ID가 모두 사용됩니다.

{ "aws:rds:db-id": "db-BRG7VYS3SVIFQW7234EJQOM5RQ", "aws:ebs:id": "vol-ad8c6542" }