Amazon MWAA에서 암호화 - Amazon Managed Workflows for Apache Airflow
저장된 데이터 암호화전송 중 암호화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon MWAA에서 암호화

다음 단원에서는 Amazon MWAA에서 저장 데이터와 전송 중인 데이터를 보호하는 방법을 설명합니다. 이 정보를 사용하여 Amazon MWAA와 통합하여 저장된 데이터를 AWS KMS 암호화하는 방법과 전송 중 전송 계층 보안 (TLS) 프로토콜을 사용하여 데이터를 암호화하는 방법을 알아보십시오.

저장된 데이터 암호화

Amazon MWAA에서 저장 데이터는 서비스가 영구 매체에 저장하는 데이터입니다.

저장 데이터 암호화를 위해 AWS 소유 키를 사용하거나, 선택적으로 환경을 만들 때 추가 암호화를 위해 고객 관리형 키를 제공할 수도 있습니다. 고객 관리형 KMS 키를 사용하려면 해당 환경에서 사용 중인 다른 AWS 리소스 및 서비스와 동일한 계정에 있어야 합니다.

고객 관리형 KMS 키를 사용하려면 키 정책에 CloudWatch 액세스하는 데 필요한 정책 설명을 첨부해야 합니다. 사용자 환경에 고객 관리 KMS 키를 사용하는 경우, Amazon MWAA는 사용자를 대신하여 4가지 권한을 부여합니다. Amazon MWAA에서 고객 관리형 KMS 키에 연결하는 권한에 대한 자세한 내용은 데이터 암호화를 위한 고객 관리형 키를 참조하십시오.

고객 관리형 KMS 키를 지정하지 않는 경우 기본적으로 Amazon MWAA는 AWS 소유한 KMS 키를 사용하여 데이터를 암호화하고 해독합니다. Amazon MWAA에서 데이터 암호화를 관리하려면 AWS 소유한 KMS 키를 사용하는 것이 좋습니다.

참고

Amazon MWAA에서 AWS 소유하거나 고객이 관리하는 KMS 키의 저장 및 사용에 대한 비용을 지불합니다. 자세한 내용은 AWS KMS 요금을 참조하십시오.

암호화 아티팩트

Amazon MWAA 환경을 생성할 때는 AWS 소유 키 또는 고객 관리형 키를 지정하여 저장 중 암호화에 사용되는 암호화 아티팩트를 지정합니다. Amazon MWAA는 사용자가 지정한 키에 필요한 권한 부여를 추가합니다.

Amazon S3 - Amazon S3 데이터는 서버 측 암호화(SSE)를 이용하여 객체 수준에서 암호화됩니다. Amazon S3 암호화 및 복호화는 DAG 코드 및 지원 파일이 저장되는 Amazon S3 버킷에서 수행됩니다. 객체는 Amazon S3에 업로드될 때 암호화되고 Amazon MWAA 환경에 다운로드될 때 복호화됩니다. 고객 관리 KMS 키를 사용하는 경우, Amazon MWAA는 기본 설정으로 이 키를 사용하여 Amazon S3 버킷의 데이터를 읽고 해독합니다.

CloudWatch 로그 — AWS 소유한 KMS 키를 사용하는 경우 로그로 전송되는 Apache Airflow 로그는 Logs 소유의 KMS 키와 함께 서버 측 암호화 (SSE) 를 사용하여 암호화됩니다. CloudWatch CloudWatch AWS 고객 관리형 KMS 키를 사용하는 경우 KMS 키에 키 정책을 추가하여 로그에서 키를 사용하도록 허용해야 합니다. CloudWatch

Amazon SQS - Amazon MWAA는 사용자 환경을 위해 하나의 Amazon SQS 대기열을 생성합니다. Amazon MWAA는 AWS 소유한 KMS 키 또는 고객이 지정한 고객 관리형 KMS 키를 사용한 서버 측 암호화 (SSE) 를 사용하여 대기열에서 주고 받는 데이터를 암호화합니다. AWS 소유한 KMS 키를 사용하든 고객 관리형 KMS 키를 사용하든 관계없이 실행 역할에 Amazon SQS 권한을 추가해야 합니다.

Aurora PostgreSQL - Amazon MWAA는 사용자 환경에 맞는 PostgreSQL 클러스터 하나를 생성합니다. Aurora PostgreSQL은 서버 측 암호화 (SSE) 를 사용하여 AWS 소유하거나 고객이 관리하는 KMS 키로 콘텐츠를 암호화합니다. 고객 관리 KMS 키를 사용하는 경우, Amazon RDS는 이 키에 최소 두 가지 권한(클러스터용과 데이터베이스 인스턴스용)을 추가합니다. 고객 관리 KMS 키를 여러 환경에서 사용하기로 선택한 경우, Amazon RDS에서 추가 권한을 부여할 수 있습니다. 자세한 내용은 Amazon RDS의 데이터 보호를 참조하십시오.

전송 중 암호화

전송 중 데이터는 네트워크를 통해 이동할 때 도청당할 수 있는 데이터로 칭하기도 합니다.

전송 계층 보안 (TLS) 은 사용자 환경의 Apache Airflow 구성 요소와 Amazon MWAA와 통합되는 다른 서비스 (예: Amazon S3) 간에 AWS 전송되는 Amazon MWAA 객체를 암호화합니다. Amazon S3 암호화에 대한 자세한 내용은 암호화를 사용한 데이터 보호를 참조하십시오.