Amazon Redshift를 사용한 VPC 암호화 제어

Amazon Redshift는 리전의 VPC 내부 및 VPC 간 모든 트래픽에 대해 전송 중 암호화를 적용하는 데 도움이 되는 보안 기능인 VPC 암호화 제어를 지원합니다. 이 문서에서는 Amazon Redshift 클러스터 및 서버리스 작업 그룹에서 VPC 암호화 제어를 사용하는 방법을 설명합니다.

VPC 암호화 제어는 중앙 집중식 제어를 제공하여 VPC 내에서 전송 중 암호화를 모니터링하고 적용합니다. 적용 모드에서 활성화하면 모든 네트워크 트래픽이 하드웨어 계층(AWS Nitro 시스템 사용) 또는 애플리케이션 계층(TLS/SSL 사용)에서 암호화됩니다.

Amazon Redshift는 VPC 암호화 제어와 통합되어 의료(HIPAA), 정부(FedRAMP) 및 금융(PCI DSS)과 같은 산업의 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.

Amazon Redshift로 VPC 암호화를 제어하는 방식

VPC 암호화 제어는 다음 두 가지 모드로 작동합니다.

모니터링 모드: 트래픽 흐름의 암호화 상태에 대한 가시성을 제공하고 암호화되지 않은 트래픽을 허용하는 리소스를 식별하는 데 도움이 됩니다.
적용 모드: VPC 내에서 암호화되지 않은 트래픽을 허용하는 리소스의 생성 또는 사용을 방지합니다. 모든 트래픽은 하드웨어 계층(Nitro 기반 인스턴스) 또는 애플리케이션 계층(TLS/SSL)에서 암호화되어야 합니다.

VPC 암호화 제어 사용 요구 사항

인스턴스 유형 요구 사항

Amazon Redshift를 사용하려면 VPC 암호화 제어를 지원하는 Nitro 기반 인스턴스가 필요합니다. 모든 최신 Redshift 인스턴스 유형은 필요한 암호화 기능을 지원합니다.

SSL/TLS 요구 사항

적용 모드에서 VPC 암호화 제어가 활성화된 경우 require_ssl 파라미터를 true로 설정해야 하며 비활성화할 수 없습니다. 이렇게 하면 모든 클라이언트 연결이 암호화된 TLS 연결을 사용할 수 있습니다.

VPC 암호화 제어로 마이그레이션

기존 클러스터 및 작업 그룹의 경우

기존 Redshift 클러스터 또는 서버리스 작업 그룹이 포함된 VPC에서는 적용 모드에서 VPC 암호화 제어를 활성화할 수 없습니다. 기존 클러스터 또는 작업 그룹이 있는 경우 암호화 제어를 사용하려면 다음 단계를 참조하세요.

기존 클러스터 또는 네임스페이스의 스냅샷 생성
적용 모드에서 VPC 암호화 제어가 활성화된 새 VPC 생성
다음 작업 중 하나를 사용하여 스냅샷에서 새 VPC로 복원합니다.
- 프로비저닝된 클러스터: restore-from-cluster-snapshot 작업 사용
- 서버리스: 작업 그룹에서 restore-from-snapshot 작업 사용

암호화 제어가 활성화된 VPC에서 새 클러스터 또는 작업 그룹을 생성할 때는 require_ssl 파라미터를 true로 설정해야 합니다.

SSL/TLS 요구 사항

고려 사항 및 제한

Amazon Redshift에서 VPC 암호화 제어를 사용할 때는 다음 사항을 고려하세요.

VPC 상태 제한

VPC 암호화 제어가 enforce-in-progress 상태이면 클러스터 및 작업 그룹 생성이 차단됩니다.
새 리소스를 생성하려면 먼저 VPC가 enforce 모드가 될 때까지 기다려야 합니다.

SSL 구성

require_ssl 파라미터: 암호화가 적용된 VPC에서 생성된 클러스터 및 작업 그룹의 경우 항상 true여야 합니다.
암호화가 적용된 VPC에서 클러스터 또는 작업 그룹이 생성되면 수명 동안 require_ssl을 비활성화할 수 없습니다.

리전 가용성

다음 리전에서는 Amazon Redshift Serverless의 적용 모드에서 이 기능을 사용할 수 없습니다.

남아메리카(상파울루)
유럽(취리히)

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

전송 중 암호화

키 관리