데이터 암호화 - Amazon Rekognition
저장 시 암호화전송 중 암호화키 관리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 암호화

다음 정보는 Amazon Rekognition에서 데이터 암호화를 사용하여 데이터를 보호하는 방법을 설명합니다.

저장 시 암호화

Amazon Rekognition Image

이미지

Amazon Rekognition API 작업으로 전달된 이미지는 저장되어 서비스를 개선하는 데 사용될 수 있습니다. 단, AI 서비스 옵트아웃 정책 페이지를 방문하여 거기에 설명된 프로세스에 따라 옵트아웃한 경우는 예외입니다. 저장된 이미지는 AWS Key Management Service(SSE-KMS)를 사용하여 저장 시 암호화(Amazon S3)됩니다.

컬렉션

컬렉션에 정보를 저장하는 얼굴 비교 작업의 경우 기본 감지 알고리즘은 먼저 입력 이미지에서 얼굴을 감지하고 각 얼굴에 대한 벡터를 추출한 다음 얼굴 벡터를 컬렉션에 저장합니다. Amazon Rekognition은 얼굴 비교를 수행할 때 이러한 얼굴 벡터를 사용합니다. 얼굴 벡터는 부동 소수점의 배열로 저장되고 저장 시 암호화됩니다.

Amazon Rekognition Video

비디오

비디오를 분석하기 위해 Amazon Rekognition은 처리할 비디오를 서비스에 복사합니다. 비디오는 저장되어 서비스를 개선하는 데 사용될 수 있습니다. 단, AI 서비스 옵트아웃 정책 페이지를 방문하여 거기에 설명된 프로세스에 따라 옵트아웃한 경우는 예외입니다. 비디오는 AWS Key Management Service(SSE-KMS)를 사용하여 저장 시 암호화(Amazon S3)됩니다.

Amazon Rekognition Custom Labels

Amazon Rekognition Custom Labels는 저장 데이터를 암호화합니다.

이미지

모델을 학습시키기 위해 Amazon Rekognition Custom Labels는 소스 훈련 및 테스트 이미지의 사본을 만듭니다. 복사된 이미지는 사용자가 제공한 AWS KMS key나 AWS가 소유한 KMS 키를 사용한 서버 측 암호화 방식으로 Amazon Simple Storage Service(S3)에서 저장 시 암호화됩니다. Amazon Rekognition Custom Labels는 대칭 KMS 키만 지원합니다. 소스 이미지는 영향을 받지 않습니다. 자세한 내용은 Amazon Rekognition Custom Labels 모델 훈련을 참조하세요.

모델

기본적으로 Amazon Rekognition Custom Labels는 AWS 소유 키를 사용한 서버 측 암호화로 Amazon S3 버킷에 저장된 학습된 모델 및 매니페스트 파일을 암호화합니다. 자세한 내용은 서버 측 암호화를 사용하여 데이터 보호를 참조하십시오. 훈련 결과는 CreateProjectVersion에 대한 OutputConfig 입력 파라미터에 지정된 버킷에 기록됩니다. 학습 결과는 버킷에 대해 구성된 암호화 설정(OutputConfig) 을 사용하여 암호화됩니다.

콘솔 버킷

Amazon Rekognition Custom Labels 콘솔은 프로젝트를 관리하는 데 사용할 수 있는 Amazon S3 버킷(콘솔 버킷)을 생성합니다. 콘솔 버킷은 기본 Amazon S3 암호화를 사용하여 암호화됩니다. 자세한 내용을 알아보려면 S3 버킷에 대한 Amazon Simple Storage Service 기본 암호화를 참조하세요. 자체 KMS 키를 사용하는 경우 콘솔 버킷을 생성한 후에 구성하십시오. 자세한 내용은 서버 측 암호화를 사용하여 데이터 보호를 참조하십시오. Amazon Rekognition Custom Labels는 콘솔 버킷에 대한 퍼블릭 액세스를 차단합니다.

Rekognition Face Liveness

Rekognition Face Liveness 서비스 계정에 저장된 모든 세션 관련 데이터는 저장 중 완전히 암호화됩니다. 기본적으로 참조 및 감사 이미지는 서비스 계정의 AWS 소유 키를 사용하여 암호화됩니다. 하지만 이러한 이미지를 암호화하기 위해 자체 AWS KMS 키를 제공하실 수도 있습니다.

전송 중 암호화

Amazon Rekognition API 엔드포인트는 HTTPS를 통한 보안 연결만을 지원합니다. 모든 통신은 TLS(전송 계층 보안)를 통해 암호화됩니다.

키 관리

AWS Key Management Service(KMS)를 사용하여 Amazon S3 버킷에 저장하는 입력 이미지 및 비디오의 키를 관리할 수 있습니다. 자세한 내용은 AWS Key Management Service 개념을 참조하세요.

Face Liveness를 위한 고객 관리형 키 암호화

CreateFaceLivenessSessionAPI는 선택적 KmsKeyId 매개변수를 받습니다. 계정에 생성한 KMS 키의 id를 제공할 수 있습니다. 이 키는 StartFaceLivenessSessionAPI 중에 획득한 참조 및 감사 이미지를 암호화하는 데 사용되며, GetFaceLivenessSessionResultsAPI 중에는 결과를 반환하기 전에 이 키를 사용하여 이미지를 해독합니다. CreateFaceLivenessSession 요청에 a가 OutputConfig 포함된 경우 참조 및 감사 이미지가 지정된 Amazon S3 경로에 업로드됩니다. Amazon S3 버킷에서 서버 측 암호화(SSE-S3)를 활성화하여 저장된 데이터가 계속 암호화된 상태로 유지되도록 하는 것이 좋습니다.

자체 AWS KMS 키 ID를 입력하면 Rekognition Face Liveness 서비스는 API를 간접 호출하는 보안 주체를 대신하여 고객 관리형 키를 사용할 수 있는 권한을 얻습니다. 고객 백엔드(CreateFaceLivenessSessionGetFaceLivenessSessionResults API)에서 API를 간접 호출하는 데 사용되는 보안 주체(사용자 또는 역할)는 다음을 수행할 수 있는 액세스 권한이 있어야 합니다.

  • kms: DescribeKey

  • kms: GenerateDataKey

  • kms:Decrypt