저장 중 암호화: Amazon에서의 작동 방식 QLDB - 아마존 퀀텀 레저 데이터베이스 (아마존QLDB)
AWS 소유 키고객 관리형 키지원금 QLDB 사용 방법권한 부여 복원고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 중 암호화: Amazon에서의 작동 방식 QLDB

QLDB저장 중 암호화는 256비트 고급 암호화 표준 (AES-256) 을 사용하여 데이터를 암호화합니다. 이는 기본 스토리지에 대한 무단 액세스로부터 데이터의 보안을 유지하는 데 도움을 줍니다. QLDB원장에 저장된 모든 데이터는 기본적으로 저장 시 암호화됩니다. 서버 측 암호화는 투명하므로 애플리케이션을 변경할 필요가 없습니다.

저장 중 암호화는 다음과 통합됩니다. AWS Key Management Service (AWS KMS) QLDB 원장 보호에 사용되는 암호화 키를 관리하기 위한 것입니다. 새 원장을 생성하거나 기존 원장을 업데이트할 때 다음 유형 중 하나를 선택할 수 있습니다. AWS KMS 키:

  • AWS 소유 키 - 기본 암호화 유형 키가 소유됩니다 QLDB (추가 비용 없음).

  • 고객 관리 키 — 키는 사용자 계정에 저장됩니다. AWS 계정 사용자가 생성, 소유, 관리합니다. 키를 완전히 제어할 수 있습니다 (AWS KMS 요금이 부과됩니다.

AWS 소유 키

AWS 소유 키 귀하의 계정에는 저장되지 않습니다. AWS 계정. 그것들은 KMS 키 컬렉션의 일부입니다. AWS 여러 곳에서 사용할 수 있도록 소유하고 관리합니다. AWS 계정. AWS 서비스 사용 가능 AWS 소유 키 데이터를 보호하기 위해서요.

생성하거나 관리할 필요가 없습니다. AWS 소유 키. 하지만 보거나 추적할 수는 없습니다. AWS 소유 키또는 사용을 감사할 수도 있습니다. 다음과 같은 경우에는 월 사용료나 사용료가 부과되지 않습니다. AWS 소유 키그리고 이 요금은 요금에 포함되지 않습니다. AWS KMS 계정 할당량.

자세한 내용은 단원을 참조하세요.AWS 소유 키AWS Key Management Service 개발자 가이드.

고객 관리형 키

고객 관리 KMS 키는 귀사의 핵심입니다. AWS 계정 직접 만들고, 소유하고, 관리하는 것. 이러한 KMS 키는 사용자가 완전히 제어할 수 있습니다. QLDB대칭 암호화 KMS 키만 지원합니다.

고객 관리형 키를 사용하여 다음과 같은 기능을 얻을 수 있습니다.

  • 키에 대한 액세스를 제어하기 위한 키 IAM 정책, 정책 및 권한 설정 및 유지

  • 키 활성화 및 비활성화

  • 키에 대한 암호화 자료 순환

  • 키 태그 및 별칭 생성

  • 키 삭제 예약

  • 자체 키 구성 요소 가져오기 또는 사용자가 소유하고 관리하는 사용자 지정 키 스토어 사용

  • 사용 AWS CloudTrail 및 Amazon CloudWatch Logs를 사용하여 다음으로 QLDB 보내는 요청을 추적합니다. AWS KMS 귀하를 대신하여

자세한 내용은 고객 관리 키를 참조하십시오. AWS Key Management Service 개발자 가이드.

고객 관리 키는 각 API 통화마다 요금이 부과되며, AWS KMS 이러한 키에는 할당량이 적용됩니다. KMS 자세한 내용은 단원을 참조하세요.AWS KMS 리소스 또는 요청 할당량

고객 관리 키를 원장의 KMS 키로 지정하면 저널 스토리지와 인덱싱된 스토리지의 모든 원장 데이터가 동일한 고객 관리 키로 보호됩니다.

액세스할 수 없는 고객 관리형 키

고객 관리형 키를 비활성화하거나, 키 삭제를 예약하거나, 키에 대한 권한 부여를 취소하면 원장 암호화 상태가 KMS_KEY_INACCESSIBLE이 됩니다. 이 상태에서는 원장이 손상되어 읽기 또는 쓰기 요청을 수락하지 않습니다. 액세스할 수 없는 키로 인해 모든 사용자와 QLDB 서비스가 데이터를 암호화하거나 복호화할 수 없으며 원장에서 읽기 및 쓰기 작업을 수행할 수 없습니다. QLDB원장에 계속 액세스할 수 있고 KMS 데이터 손실을 방지하려면 키에 액세스할 수 있어야 합니다.

중요

손상된 원장은 키에 대한 권한 부여를 복원한 후 또는 비활성화된 키를 다시 활성화하면 자동으로 활성 상태로 돌아갑니다.

하지만 고객 관리형 키를 삭제하면 되돌릴 수 없습니다. 키가 삭제된 후에는 해당 키로 보호되는 원장에 더 이상 액세스할 수 없으며 데이터를 영구적으로 복구할 수 없게 됩니다.

원장의 암호화 상태를 확인하려면 다음을 사용하십시오. AWS Management Console 또는 DescribeLedgerAPI작업.

Amazon이 보조금을 QLDB 사용하는 방법 AWS KMS

QLDB고객 관리 키를 사용하려면 허가가 필요합니다. 고객 관리 키로 보호되는 원장을 생성하는 경우, CreateGrant요청을 다음으로 전송하여 사용자를 대신하여 권한 부여를 QLDB 생성합니다. AWS KMS. 보조금 AWS KMS 고객의 KMS 키에 QLDB 대한 액세스 권한을 부여하는 데 사용됩니다. AWS 계정. 자세한 내용은 보조금 사용을 참조하십시오. AWS Key Management Service 개발자 가이드.

QLDB다음 용도에 고객 관리 키를 사용하려면 지원금이 필요합니다. AWS KMS 운영:

  • DescribeKey— 지정된 대칭 암호화 KMS 키가 유효한지 확인합니다.

  • GenerateDataKey— 원장에 저장된 데이터를 암호화하는 데 QLDB 사용하는 고유한 대칭 데이터 키를 생성합니다.

  • Decrypt - 고객 관리형 키로 암호화된 데이터 키를 해독합니다.

  • Encrypt - 고객 관리형 키를 사용하여 일반 텍스트를 사이퍼텍스트로 암호화합니다.

언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 이렇게 하면 키에 액세스할 수 없게 되고 고객 관리 QLDB 키로 보호되는 원장 데이터에 액세스할 수 없게 됩니다. 이 상태에서는 원장이 손상되어 키에 대한 권한을 복원할 때까지 어떠한 읽기 또는 쓰기 요청도 수락하지 않습니다.

에 부여된 권한 복원 AWS KMS

고객 관리 키에 대한 권한 부여를 복원하고 원장에 대한 액세스 권한을 복구하려면 원장을 업데이트하고 동일한 KMS 키를 지정할 수 있습니다. QLDB 지침은 업데이트 AWS KMS key 기존 원장의 단원을 참조하십시오.

저장 시 암호화 고려 사항

저장 중 암호화를 사용할 때는 다음 사항을 고려하십시오. QLDB

  • 서버측 저장 시 암호화는 모든 QLDB 원장 데이터에 기본적으로 활성화되며 비활성화할 수 없습니다. 원장에서 항목의 하위 집합만 암호화할 수 없습니다.

  • 저장 시 암호화는 영구 스토리지 미디어에서 정적(저장 시) 상태인 데이터만 암호화합니다. 전송 중 데이터 또는 사용 중인 데이터에 대한 데이터 보안 문제가 있는 경우 다음과 같은 추가 조치를 취해야 합니다.

    • 전송 중인 데이터: 전송되는 모든 데이터는 QLDB 암호화됩니다. 기본적으로 통신은 Secure Sockets Layer (SSL) /전송 계층 보안 (TLS) 암호화를 사용하여 네트워크 트래픽을 보호하는 HTTPS 프로토콜을 QLDB 사용합니다.

    • 사용 중인 데이터: 클라이언트 측 암호화를 사용하여 데이터를 보내기 전에 데이터를 보호하십시오. QLDB

원장에 대해 고객 관리형 키를 구현하는 방법을 알아보려면 Amazon에서 고객 관리 키 사용 QLDB 섹션으로 이동하세요.