MemoryDB의 미사용 데이터 암호화 - Amazon MemoryDB
KMS의 고객 관리형 키 사용 AWS참고

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

MemoryDB의 미사용 데이터 암호화

데이터를 안전하게 유지하기 위해 MemoryDB와 Amazon S3는 클러스터의 데이터에 대한 액세스를 제한하는 다양한 방법을 제공합니다. 자세한 내용은 MemoryDB 및 Amazon VPC메모리DB에서의 ID 및 액세스 관리 섹션을 참조하세요.

영구 데이터를 암호화하여 데이터 보안을 강화하기 위해 MemoryDB 미사용 데이터 암호화는 항상 활성화됩니다. 다음과 같은 측면을 암호화합니다.

  • 트랜잭션 로그의 데이터

  • 동기화, 스냅샷 및 스왑 작업 중 디스크

  • Amazon S3에 저장된 스냅샷

MemoryDB는 기본(서비스 관리형) 유휴 데이터 암호화와 더불어 AWS Key Management Service(KMS)에서 자체 대칭 고객 관리형 고객 마스터 키를 사용할 수 있는 기능을 제공합니다.

데이터 계층화가 활성화된 클러스터의 SSD(Solid-State Drive)에 저장된 데이터는 기본적으로 항상 암호화됩니다.

전송 중 데이터 암호화와 관련된 자세한 내용은 MemoryDB에서 전송 중 데이터 암호화(TLS)을 참조하세요.

KMS의 고객 관리형 키 사용 AWS

MemoryDB는 저장된 데이터 암호화에 대한 대칭 고객 관리형 루트(KMS 키)를 지원합니다. 고객 관리형 KMS 키는 계정에서 생성, 소유 및 관리하는 암호화 키입니다. AWS 자세한 내용은 AWS Key Management Service 개발자 안내서에서 고객 루트 키를 참조하세요. AWS KMS에서 키를 생성해야 MemoryDB와 함께 사용할 수 있습니다.

AWS KMS 루트 키를 생성하는 방법을 알아보려면 키 관리 서비스 개발자 가이드의AWS 키 생성을 참조하십시오.

MemoryDB를 사용하면 KMS와 통합할 수 있습니다. AWS 자세한 내용은 AWS Key Management Service 개발자 안내서권한 부여 사용을 참조하세요. KMS와 MemoryDB를 통합하기 위해 별도의 고객 조치는 필요하지 않습니다. AWS

kms:ViaService조건 키는 AWS KMS 키 사용을 지정된 서비스의 요청으로 제한합니다. AWS kms:ViaServiceMemoryDB와 함께 사용하려면 조건 키 값에 두 ViaService 이름을 모두 포함해야 합니다. memorydb.amazon_region.amazonaws.com 자세한 내용은 kms:를 참조하십시오. ViaService

MemoryDB가 사용자 대신 보내는 요청을 추적하는 AWS CloudTrail데 사용할 수 AWS Key Management Service 있습니다. 고객 관리 키와 AWS Key Management Service 관련된 모든 API 호출에는 해당 CloudTrail 로그가 있습니다. ListGrantsKMS API 호출을 호출하여 MemoryDB가 생성하는 권한 부여도 확인할 수 있습니다.

고객 관리형 키를 사용하여 클러스터를 암호화하면 클러스터의 모든 스냅샷이 다음과 같이 암호화됩니다.

  • 자동 일일 스냅샷은 클러스터와 연결된 고객 관리형 키를 사용하여 암호화됩니다.

  • 클러스터가 삭제될 때 생성된 최종 스냅샷은 클러스터와 연결된 고객 관리형 키를 사용하여 암호화됩니다.

  • 수동으로 생성한 스냅샷은 클러스터에 연결된 KMS 키를 사용하기 위해 기본적으로 암호화됩니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.

  • 스냅샷 복사는 기본적으로 소스 스냅샷과 연결된 고객 관리형 키를 사용합니다. 다른 고객 관리형 키를 선택하여 이를 재정의할 수 있습니다.

참고

  • 선택한 Amazon S3 버킷으로 스냅샷을 내보낼 때 고객 관리형 키를 사용할 수 없습니다. 그러나 Amazon S3으로 내보낸 모든 스냅샷은 서버 측 암호화를 사용하여 암호화됩니다. 스냅샷 파일을 새 S3 개체로 복사하고 고객 관리형 KMS 키를 사용하여 암호화하거나, KMS 키를 사용하여 기본 암호화로 설정된 다른 S3 버킷에 파일을 복사하거나, 파일 자체에서 암호화 옵션을 변경할 수 있습니다.

  • 또한 고객 관리형 키를 사용하여 암호화에 고객 관리형 키를 사용하지 않는 수동으로 생성한 스냅샷을 암호화할 수도 있습니다. 이 옵션을 사용하면 원래 클러스터에서 데이터가 암호화되지 않더라도 KMS 키를 사용하여 Amazon S3에 저장된 스냅샷 파일이 암호화됩니다.

스냅샷에서 복원하면 새 클러스터를 생성할 때 사용할 수 있는 암호화 옵션과 유사한 암호화 옵션을 선택할 수 있습니다.

  • 클러스터를 암호화하는 데 사용한 키에 대해 키를 삭제하거나 키를 비활성화하고 그랜트를 취소하면 클러스터를 복구할 수 없게 됩니다. 즉, 하드웨어 장애 후에는 수정하거나 복구할 수 없습니다. AWS KMS는 최소 7일의 대기 기간이 지난 후에만 루트 키를 삭제합니다. 키를 삭제한 후 다른 고객 관리형 키를 사용하여 보관용 스냅샷을 생성할 수 있습니다.

  • 자동 키 교체는 AWS KMS 루트 키의 속성을 보존하므로, 이 순환은 MemoryDB 데이터 액세스 기능에 영향을 주지 않습니다. 암호화된 MemoryDB 클러스터는 새로운 루트 키를 생성하거나 이전 키에 대한 모든 참조를 업데이트하는 수동 키 교체를 지원하지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 고객 루트 키 교체를 참조하세요.

  • KMS 키를 사용하여 MemoryDB 클러스터를 암호화하려면 클러스터당 1개의 그랜트가 필요합니다. 이 그랜트는 클러스터의 수명 동안 사용됩니다. 또한 스냅샷을 생성하는 동안 스냅샷당 하나의 권한 부여가 사용됩니다. 이 그랜트는 스냅샷이 생성되면사용 중지됩니다.

  • AWS KMS 권한 부여 및 한도에 대한 자세한 내용은 키 관리 서비스 개발자 가이드의 할당량을 참조하십시오.AWS

참고