Amazon MWAA의 암호화 - Amazon Managed Workflows for Apache Airflow

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon MWAA의 암호화

다음 주제에서는 Amazon MWAA가 저장 및 전송 중인 데이터를 보호하는 방법을 설명합니다. 이 정보를 사용하여 Amazon MWAA가와 통합되어 저장된 데이터를 AWS KMS 암호화하는 방법과 전송 중인 전송 계층 보안(TLS) 프로토콜을 사용하여 데이터를 암호화하는 방법을 알아봅니다.

저장 중 암호화

Amazon MWAA에서 저장 데이터는 서비스가 영구 미디어에 저장하는 데이터입니다.

저장 데이터 암호화를 위해 AWS 소유 키를 사용하거나, 선택적으로 환경을 만들 때 추가 암호화를 위해 고객 관리형 키를 제공할 수도 있습니다. 고객 관리형 KMS 키를 사용하기로 선택한 경우 환경에서 사용하는 다른 AWS 리소스 및 서비스와 동일한 계정에 있어야 합니다.

고객 관리형 KMS 키를 사용하려면 CloudWatch 액세스에 필요한 정책 설명을 키 정책에 연결해야 합니다. 환경에 고객 관리형 KMS 키를 사용하는 경우 Amazon MWAA는 사용자를 대신하여 4개의 권한 부여를 연결합니다. Amazon MWAA가 고객 관리형 KMS 키에 연결하는 권한 부여에 대한 자세한 내용은 데이터 암호화를 위한 고객 관리형 키를 참조하세요.

고객 관리형 KMS 키를 지정하지 않는 경우 기본적으로 Amazon MWAA는 AWS 소유한 KMS 키를 사용하여 데이터를 암호화하고 복호화합니다. AWS 소유 Word 키를 사용하여 Amazon KMS에서 데이터 암호화를 관리하는 것이 좋습니다MWAA.

참고

Amazon KMS에서 AWS 소유 또는 고객 관리형 MWAA 키의 저장 및 사용에 대한 비용은 사용자가 지불합니다. 자세한 내용은 AWS KMS 요금을 참조하세요.

암호화 아티팩트

Amazon MWAA 환경을 생성할 때 AWS 소유 키 또는 고객 관리형 키를 지정하여 유휴 암호화에 사용되는 암호화 아티팩트를 지정합니다. Amazon MWAA는 지정된 키에 필요한 권한을 추가합니다.

Amazon S3 – Amazon S3 데이터는 Server-Side Encryption(SSE)을 사용하여 객체 수준에서 암호화됩니다. Amazon S3 암호화 및 복호화는 DAG 코드와 지원 파일이 저장되는 Amazon S3 버킷에서 수행됩니다. 객체는 Amazon S3에 업로드될 때 암호화되고 Amazon MWAA 환경에 다운로드될 때 복호화됩니다. 기본적으로 고객 관리형 KMS 키를 사용하는 경우 Amazon MWAA는 이를 사용하여 Amazon S3 버킷의 데이터를 읽고 복호화합니다.

CloudWatch 로그 - AWS 소유 Word KMS 키를 사용하는 경우 CloudWatch Logs로 전송된 Apache Airflow 로그는 CloudWatch Logs 소유 AWS KMS 키와 함께 서버 측 암호화(SSE)를 사용하여 암호화됩니다. 고객 관리형 KMS 키를 사용하는 경우 KMS 키에 키 정책을 추가하여 CloudWatch Logs가 키를 사용하도록 허용해야 합니다.

Amazon SQS - Amazon MWAA는 환경에 대해 하나의 Amazon SQS 대기열을 생성합니다. Amazon MWAA는 AWS 소유 Word 키 또는 KMS 지정한 고객 관리KMS 키를 사용하여 서버 측 암호화(SSE)를 사용하여 대기열과 주고받는 데이터 암호화를 처리합니다. AWS 소유 또는 고객 관리형 SQS 키를 사용하는지 여부에 관계없이 실행 역할에 Amazon KMS 권한을 추가해야 합니다.

Aurora PostgreSQL - Amazon MWAA는 사용자 환경에 대해 하나의 PostgreSQL 클러스터를 생성합니다. Aurora PostgreSQL는 서버 측 암호화(SSE)를 사용하여 AWS 소유 또는 고객 관리KMS 키로 콘텐츠를 암호화합니다. 고객 관리형 KMS 키를 사용하는 경우 Amazon RDS는 키에 최소 2개의 권한 부여를 추가합니다. 하나는 클러스터용이고 다른 하나는 데이터베이스 인스턴스용입니다. Amazon RDS는 여러 환경에서 고객 관리형 KMS 키를 사용하도록 선택하는 경우 추가 권한을 생성할 수 있습니다. 자세한 내용은 Amazon RDS의 데이터 보호를 참조하세요.

전송 중 암호화

전송 중 데이터는 네트워크를 통해 이동할 때 도청당할 수 있는 데이터로 칭하기도 합니다.

전송 계층 보안(TLS)은 환경의 Apache Airflow 구성 요소와 Amazon S3와 같은 Amazon MWAA와 통합되는 기타 AWS 서비스 간에 전송 중인 Amazon MWAA 객체를 암호화합니다. Amazon S3 암호화에 대한 자세한 내용은 암호화를 사용한 데이터 보호를 참조하십시오.