기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Snowball Edge 디바이스 주문 전
AWS Snowball Edge는 지역별 서비스입니다. 따라서 작업을 계획하기 전에는 해당 서비스가 AWS 리전에서 사용 가능한지 확인하세요. 위치 및 Amazon S3 버킷이 AWS 리전 동일하거나 동일한 국가 내에 있는지 확인하십시오. 이는 디바이스 주문 능력에 영향을 미치기 때문입니다.
로컬 엣지 컴퓨팅 및 스토리지 작업에 최적화된 컴퓨팅 디바이스가 있는 Amazon S3 compatible storage on Snow Family devices를 사용하려면 주문 시 디바이스 또는 디바이스에 S3 용량을 프로비저닝해야 합니다. Amazon S3 compatible storage on Snow Family devices는 로컬 버킷 관리를 지원하므로 디바이스를 받은 후에는 디바이스 또는 클러스터에 S3 버킷을 생성할 수 있습니다.
주문 프로세스의 일환으로 AWS Identity and Access Management (IAM) 역할과 AWS Key Management Service (AWS KMS) 키를 생성합니다. KMS 키는 작업에 대한 잠금 해제 코드를 암호화하는 데 사용됩니다. IAM 역할 및 KMS 키 생성에 대한 자세한 내용은 Snow Family 디바이스 주문을 위한 작업 생성을 참조하십시오.
주제
로컬 환경에 대한 질문
데이터 세트와 로컬 환경 설정 방법을 이해하면 데이터 전송을 완료하는 데 도움이 됩니다. 주문하기 전에 다음 사항을 고려하세요.
- 어떤 데이터를 전송하고 있나요?
-
많은 수의 소용량 파일은 AWS Snowball Edge에서 제대로 전송하기 어렵습니다. 이는 Snowball Edge가 각 개별 객체를 암호화하기 때문입니다. 소용량 파일에는 크기가 1MB 미만인 파일이 포함됩니다. AWS Snowball Edge 장치로 전송하기 전에 압축해 두는 것이 좋습니다. 각 디렉터리 내 파일이나 디렉터리를 500,000개 이하로 유지하는 것도 좋습니다.
- 전송 중에 데이터에 액세스할 수 있습니까?
-
정적 데이터 세트를 보유하는 것이 중요합니다. 즉 전송 중에 데이터에 액세스하는 사용자나 시스템이 없어야 합니다. 그렇지 않으면 체크섬 불일치로 인해 파일 전송이 실패할 수 있습니다. 파일은 전송되지 않으며
Failed로 표시됩니다.데이터 손상을 방지하려면 데이터를 전송하는 동안 AWS Snowball Edge 장치의 연결을 끊거나 네트워크 설정을 변경하지 마십시오. 파일은 디바이스에 기록되는 동안 정적 상태에 있어야 합니다. 파일이 디바이스에 쓰여지는 동안 수정된 파일은 읽기/쓰기 충돌을 일으킬 수 있습니다.
- 네트워크에서 데이터 전송을 AWS Snowball 지원하나요?
-
Snowball Edge는 RJ45, SFP+ 또는 QSFP+ 네트워킹 어댑터를 지원합니다. 스위치가 기가비트 스위치인지 확인하세요. 스위치 브랜드에 따라 기가비트 또는 10/100/1000으로 표시될 수 있습니다. Snowball Edge 디바이스는 메가비트 스위치 또는 10/100 스위치를 지원하지 않습니다.
특수 문자가 포함된 파일 이름 사용
객체 이름에 특수 문자가 포함된 경우 오류가 발생할 수 있다는 점에 유의해야 합니다. Amazon S3에서는 특수 문자를 허용하지만 다음 문자는 사용하지 않는 것이 좋습니다.
-
백슬래시('\')
-
왼쪽 중괄호('{')
-
오른쪽 중괄호('}')
-
왼쪽 대괄호('[')
-
오른쪽 대괄호(']')
-
'보다 작음' 기호('<')
-
'보다 큼' 기호('>')
-
인쇄되지 않는 ASCII 문자(128~255 사이의 10진수)
-
캐럿('^')
-
백분율 문자('%')
-
억음 악센트 기호('`')
-
인용 부호
-
물결표('~')
-
'파운드' 문자('#')
-
세로 막대/파이프('|')
파일의 개체 이름에 이러한 문자가 하나 이상 있는 경우 개체를 AWS Snowball Edge 장치로 복사하기 전에 개체 이름을 바꾸십시오. 파일 이름에 공백이 있는 Windows 사용자는 개별 객체를 복사하거나 재귀 명령을 실행할 때 주의해야 합니다. 명령에서 이름에 공백이 포함된 객체의 이름은 인용 부호로 묶습니다. 이러한 파일의 예시는 다음과 같습니다.
| 운영 체제 | 파일 이름: test file.txt |
|---|---|
|
Windows |
|
|
iOS |
|
|
Linux |
|
참고
객체 메타데이터 중 객체 이름과 크기만이 유일하게 전송됩니다.
Snow Family 디바이스 기반 Amazon EC2 사용
이 섹션에서는 AWS Snowball 엣지 디바이스에서 Amazon EC2 호환 컴퓨팅 인스턴스를 사용하는 방법을 간략하게 설명합니다. 여기에는 개념 정보, 절차, 예시가 포함됩니다.
참고
AWS Snowball 켜진 Amazon EC2 기능은 아시아 태평양 (뭄바이) 및 유럽 (파리) 에서 지원되지 않습니다. AWS 리전
sbe1,,sbe-c, 인스턴스 유형을 사용하여 AWS Snowball 엣지에 호스팅된 Amazon EC2 호환 컴퓨팅 인스턴스를 실행할 수 있습니다. sbe-g
-
sbe1인스턴스 유형은 Snowball Edge 스토리지 최적화 옵션으로 디바이스에서 작동합니다. -
sbe-c인스턴스 유형은 Snowball Edge 컴퓨팅 최적화 옵션으로 디바이스에서 작동합니다. -
sbe-c및sbe-g인스턴스 유형 모두는 Snowball Edge Compute Optimized with GPU 옵션으로 디바이스에서 작동합니다.
Snowball Edge 디바이스 옵션용으로 지원되는 컴퓨팅 인스턴스 유형은 모두 AWS Snowball Edge 디바이스에서만 사용 가능합니다. 이에 상응하는 클라우드 기반 인스턴스와 마찬가지로 이들 인스턴스 역시 시작하려면 Amazon Machine Image(AMI)가 필요합니다. Snowball Edge 작업을 생성하기 전에는 인스턴스용 AMI를 선택합니다.
Snowball Edge에서 컴퓨팅 인스턴스를 사용하려면 Snow Family 디바이스를 주문하는 작업을 생성하고 AMI를 지정하십시오. AWS Snowball 관리 콘솔, AWS Command Line Interface (AWS CLI) 또는 SDK 중 하나를 사용하여 이 작업을 수행할 수 있습니다. AWS 일반적으로, 인스턴스를 사용하기 위해 작업을 생성하기 전에 수행해야 하는 정리 작업 사전 조건이 일부 존재합니다.
디바이스가 도착한 후 AMI 및 인스턴스 관리를 시작할 수 있습니다. Amazon EC2 엔드포인트를 통해 Snowball Edge에서 컴퓨팅 인스턴스를 관리할 수 있습니다. 이 유형의 엔드포인트는 SDK에 대한 많은 Amazon EC2 CLI 명령 및 작업을 지원합니다. AWS Snowball AWS Management Console Edge에서는 AMI와 컴퓨팅 인스턴스를 관리하는 데 사용할 수 없습니다.
디바이스 사용을 마치면 디바이스를 로 반납하십시오. AWS디바이스가 가져오기 작업에 사용되었다면 Amazon S3 어댑터 또는 NFS 인터페이스를 사용해 전송된 데이터는 Amazon S3으로 가져옵니다. 그렇지 않으면 기기가 반품될 때 기기가 완전히 삭제됩니다. AWS이 삭제는 NIST(National Institute of Standards and Technology) 800-88 표준에 따른 것입니다.
중요
Snowball Edge에서 실행 중인 컴퓨팅 인스턴스의 데이터는 AWS로 가져오지 않습니다.
Snow Family 디바이스상의 Amazon EC2와 Amazon EC2 호환 인스턴스 간 차이
AWS Snow Family EC2 호환 인스턴스를 사용하면 고객이 EC2 API의 하위 집합과 AMI의 하위 집합을 사용하여 Amazon EC2 호환 인스턴스를 사용하고 관리할 수 있습니다.
Snowball Edge의 컴퓨팅 인스턴스 요금
컴퓨팅 인스턴스 사용 시에는 추가 비용이 발생합니다. 자세한 내용은 AWS Snowball Edge 요금
사전 조건
작업을 생성하기 전에 다음 정보를 유념하세요.
-
AMI를 작업 요청에 추가하기 전에 지원되는 AMI가 AWS 계정에 생성되어 있는지 확인합니다. 지원되는 AMI는 CentOS 7 (x86_64) - HVM 업데이트 포함
및 Ubuntu 16.04 LTS - Xenial (HVM) 이미지에 현재 기반을 두고 있습니다. 이들 이미지는 AWS Marketplace 웹 사이트에서 얻을 수 있습니다. -
모든 AMI는 Amazon Elastic Block Store(Amazon EBS)를 기반으로 하며 볼륨이 하나여야 합니다.
-
Snowball Edge에서 실행 중인 컴퓨팅 인스턴스에 연결하려는 경우에는 Secure Shell(SSH)을 사용해야 합니다. 이렇게 하려면 먼저 키 페어를 추가합니다. 자세한 설명은 디바이스에서 시작된 컴퓨팅 인스턴스에 연결되도록 AMI를 구성하여 SSH 사용 섹션을 참조하세요.
인스턴스에서 Linux AMI 생성
AWS Management Console 또는 명령줄을 사용하여 AMI를 생성할 수 있습니다. 기존 AMI로 인스턴스를 시작한 다음 사용자 지정하고 해당 인스턴스에서 새 AMI를 생성합니다. 마지막으로 새 AMI의 인스턴스를 실행합니다.
콘솔을 사용하여 인스턴스에서 AMI 생성
-
새 AMI의 시작점으로 사용하기에 적절한 EBS 지원 AMI를 선택하고 시작하기 전에 필요에 따라 구성합니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 인스턴스 시작 마법사를 사용하여 인스턴스 시작 섹션을 참조하세요.
-
시작을 선택하여 선택한 EBS 지원 AMI의 인스턴스를 시작합니다. 나머지 기본값을 그대로 두고 마법사를 계속 진행합니다. 자세한 내용은 인스턴스 시작 마법사를 사용하여 인스턴스 시작 방법 섹션을 참조하세요.
-
인스턴스가 실행 중일 때 인스턴스에 연결합니다. 인스턴스에서 다음과 같은 작업을 수행하여 인스턴스를 원하는 대로 사용자 지정할 수 있습니다.
-
소프트웨어 및 애플리케이션 설치
-
데이터 복사
-
임시 파일 삭제, 하드 드라이브 조각 모음, 여유 공간 제로 클리어를 통한 시작 속도 향상
-
추가 Amazon EBS 볼륨 연결
-
-
(선택 사항) 인스턴스에 연결한 모든 볼륨의 스냅샷을 생성합니다. 스냅샷 생성에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 Amazon EBS 스냅샷 생성 섹션을 참조하세요.
-
탐색 창에서 인스턴스를 선택하고 인스턴스를 선택합니다. 작업, 이미지, 이미지 생성을 차례로 선택합니다.
작은 정보
이 옵션이 비활성화되어 있다면 Amazon EBS 지원 인스턴스가 아님을 의미합니다.
-
이미지 생성 대화 상자에서 다음 정보를 지정한 후 이미지 생성을 선택합니다.
-
이미지 이름 - 이미지의 고유한 이름입니다.
-
이미지 설명 - 이미지에 대한 선택적 설명으로, 최대 255자까지 입력할 수 있습니다.
-
재부팅 안 함 - 이 옵션은 기본적으로 선택되지 않습니다. Amazon EC2는 인스턴스를 종료하고, 연결된 볼륨의 스냅샷을 캡처하고, AMI를 생성하여 등록한 다음 인스턴스를 재부팅합니다. 인스턴스가 종료되지 않도록 하려면 재부팅 안 함을 선택합니다.
주의
재부팅 안 함을 선택한 경우 생성된 이미지의 파일 시스템 무결성을 보장할 수 없습니다.
-
인스턴스 볼륨 - 이 섹션의 필드에서는 루트 볼륨을 수정하고 별도의 Amazon EBS 및 인스턴스 스토어 볼륨을 추가할 수 있습니다. 각 필드에 대한 자세한 내용을 보려면 각 필드 옆에 있는 i 아이콘에서 일시 중지하여 필드 도구 설명을 표시합니다. 몇 가지 중요한 사항은 아래에 나열되어 있습니다.
-
루트 볼륨 크기를 변경하려면 볼륨 유형 열의 루트를 찾습니다. 크기(GiB)에 필요한 값을 입력합니다.
-
종료 시 삭제를 선택할 경우 이 AMI에서 생성된 인스턴스를 종료하면 Amazon EBS 볼륨이 삭제됩니다. 종료 시 삭제를 선택 취소할 경우 인스턴스를 종료하면 Amazon EBS 볼륨이 삭제되지 않습니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 인스턴스 종료 시 Amazon EBS 볼륨 보존 섹션을 참조하세요.
-
Amazon EBS 볼륨을 추가하려면 새 볼륨 추가를 선택합니다(새 행이 추가됨). 볼륨 유형에서 EBS를 선택하고 행의 필드를 작성합니다. 새 AMI에서 인스턴스를 시작하면 추가 볼륨이 인스턴스에 자동으로 연결됩니다. 빈 볼륨은 반드시 포맷하고 탑재해야 합니다. 스냅샷 기반 볼륨을 반드시 탑재해야 합니다.
-
인스턴스 스토어 볼륨을 추가하려면 Linux 인스턴스용 Amazon EC2 사용 설명서의 AMI에 인스턴스 스토어 볼륨 추가 섹션을 참조하세요. 새 AMI에서 인스턴스를 시작하면 추가 볼륨이 자동으로 시작되어 탑재됩니다. 이러한 볼륨에는 AMI를 기반으로 하여 실행 중인 인스턴스의 인스턴스 스토어 볼륨 데이터가 포함되어 있지 않습니다.
-
-
-
생성 중인 AMI의 상태를 보려면 탐색 창에서 AMI를 선택합니다. 처음에는 상태가 보류 중이지만 몇 분 후에 사용 가능으로 변경되어야 합니다.
(선택 사항) 새 AMI에 대해 생성된 스냅샷을 보려면 스냅샷을 선택합니다. 이 AMI에서 인스턴스를 시작할 때 이 스냅샷을 사용하여 루트 디바이스 볼륨을 생성합니다.
-
새 AMI에서 인스턴스를 시작합니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 인스턴스 시작 마법사를 사용하여 인스턴스 시작 섹션을 참조하세요.
-
실행 중인 새 인스턴스에는 이전 단계에서 적용한 모든 사용자 지정 사항이 포함되어 있습니다.
명령줄을 사용하여 인스턴스에서 AMI 생성
다음 명령 중 하나를 사용할 수 있습니다. 이 명령줄 인터페이스에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 Amazon EC2 액세스 섹션을 참조하세요.
-
create-image(AWS CLI)
-
새 EC2 이미지 (AWS 윈도우용 도구) PowerShell
스냅샷에서 Linux AMI 생성
인스턴스의 루트 디바이스 볼륨 스냅샷이 있는 경우 AWS Management Console 또는 명령줄을 사용하여 이 스냅샷에서 AMI를 생성할 수 있습니다.
콘솔을 사용하여 스냅샷에서 AMI 생성
-
https://console.aws.amazon.com/ec2/
에서 Amazon EC2 콘솔을 엽니다. -
탐색 창의 Elastic Block Store에서 스냅샷을 선택합니다.
-
스냅샷을 선택하고 작업, 이미지 생성을 선택합니다.
-
EBS 스냅샷에서 이미지 생성 대화 상자에서 AMI 생성에 필요한 필드 정보를 모두 입력합니다. 그런 다음 생성을 선택합니다. 상위 인스턴스를 다시 생성하는 경우에는 상위 인스턴스와 동일한 옵션을 선택합니다.
-
아키텍처 - 32비트의 경우 i386을 선택하고 64비트의 경우 x86_64를 선택합니다.
-
루트 디바이스 이름 - 루트 볼륨에 적절한 이름을 입력합니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 Linux 인스턴스의 디바이스 이름 섹션을 참조하세요.
-
가상화 유형: 이 AMI에서 실행된 인스턴스가 반가상화(PV)를 사용하는지 또는 하드웨어 가상 머신(HVM) 가상화를 사용하는지 선택합니다. 자세한 내용은 Linux AMI 가상화 유형 섹션을 참조하세요.
-
(PV 가상화 유형에만 해당) 커널 ID 및 RAM 디스크 ID - 목록에서 AKI 및 ARI를 선택합니다. 기본 AKI를 선택하거나 AKI를 선택하지 않으면 이 AMI를 사용하여 인스턴스를 시작할 때마다 AKI를 지정해야 합니다. 또한 기본 AKI가 인스턴스와 호환되지 않는 경우, 상태 확인 시 인스턴스 오류가 발생할 수 있습니다.
-
(선택 사항) 블록 디바이스 매핑 - 볼륨을 추가하거나 AMI에 대한 루트 볼륨의 기본 크기를 확장합니다. 대용량 볼륨 인스턴스의 파일 시스템 크기 조정에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 볼륨 크기 조정 후 Linux 파일 시스템 확장 섹션을 참조하세요.
-
명령줄을 사용하여 스냅샷에서 AMI 생성
스냅샷에서 AMI를 생성하려면 다음 명령 중 하나를 사용할 수 있습니다. 이 명령줄 인터페이스에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 Amazon EC2 액세스 섹션을 참조하세요.
-
register-image(AWS CLI)
-
Register-EC2Image(AWS Tools for Windows PowerShell)
Snowball Edge에서 Amazon S3 사용
주문 프로세스의 일환으로 AWS Identity and Access Management (IAM) 역할과 AWS Key Management Service (AWS KMS) 키를 생성하라는 메시지가 표시됩니다. KMS 키는 Snowball Edge 디바이스의 저장 데이터를 암호화하는 데 사용됩니다. IAM 역할 및 KMS 키 생성에 대한 자세한 내용은 Snow Family 디바이스 주문을 위한 작업 생성을 참조하십시오.
중요
가져온 데이터를 키가 저장된 서버 측 암호화 AWS KMS (SSE-KMS) 를 사용하여 S3 버킷에서 암호화해야 하는 경우 을 참조하십시오. Amazon S3 암호화를 사용한 AWS KMS
가져온 데이터를 Amazon S3 관리형 키가 있는 서버 측 암호화(SSE-S3)를 사용하여 S3 버킷에서 암호화해야 하는 경우 서버 측 암호화를 통한 Amazon S3 암호화 섹션을 참조하세요.
가져오기 작동 방식
각 가져오기 작업은 하나의 Snowball Edge 디바이스를 사용합니다. Snow Family 디바이스를 주문하기 위한 작업을 생성하면 Snowball Edge 디바이스가 배송됩니다. 도착하면 Snowball Edge 디바이스를 네트워크에 연결하고 Amazon S3로 가져오려는 데이터를 해당 Snowball Edge로 전송합니다. 데이터 전송을 마친 뒤에는 Snowball Edge를 다시 AWS로 반환합니다. 그런 다음 데이터를 Amazon S3로 가져옵니다.
중요
S3 객체 잠금을 설정한 경우 Snowball Edge는 버킷에 쓸 수 없습니다. 또한 버킷의 IAM 정책이 버킷에 쓰기를 금지하는 경우에도 버킷에 쓸 수 없습니다.
내보내기 작동 방식
각 내보내기 작업에는 원하는 수의 AWS Snowball Edge 디바이스를 사용할 수 있습니다. 작업 생성 후에는 목록 작업이 Amazon S3에서 시작됩니다. 이 목록 작업을 통해 작업이 여러 부분으로 분할됩니다. 각 작업 파트에는 디바이스가 정확히 하나씩 연결되어 있습니다. 작업 파트가 생성되면 첫 번째 작업 파트가 준비 중인 Snowball 상태가 됩니다.
참고
작업을 여러 부분으로 분할하는 목록 작업은 Amazon S3의 기능이며, Amazon S3 작업과 동일하게 요금이 청구됩니다.
그런 다음 데이터를 디바이스로 내보내기 시작합니다. 일반적으로 데이터 내보내기는 영업일 기준 하루가 걸립니다. 그러나 이 프로세스는 더 오래 걸릴 수 있습니다. 내보내기가 완료되면 지역 이동통신사가 픽업할 수 있도록 디바이스를 준비합니다. AWS
디바이스가 현장에 도착하면 사용자는 디바이스를 네트워크에 연결하고 Amazon S3로 가져오려는 데이터를 해당 디바이스로 전송합니다. 데이터 전송을 완료하면 기기를 다시 AWS배송하세요. 반환된 디바이스를 받으면 해당 디바이스에서 데이터가 완전히 삭제됩니다. 이 삭제는 NIST(National Institute of Standards and Technology) 800-88 표준에 따른 것입니다.
이 단계가 완료되면 해당 작업 파트가 완료됩니다. 작업 파트가 더 있는 경우에는 다음 번 작업 파트의 배송이 준비됩니다.
중요
Snowball Edge는 S3 Glacier 스토리지 클래스에 포함된 파일을 내보낼 수 없습니다. 파일을 내보내려면 먼저 이러한 객체를 복원해야 합니다. S3 Glacier 스토리지 클래스에서 파일이 발견되면 연락을 취해 알려드리지만, 이로 인해 내보내기 작업이 지연될 수 있습니다.
Amazon S3 compatible storage on Snow Family devices를 엣지 컴퓨팅 및 스토리지 작업에 사용
Amazon S3 compatible storage on Snow Family devices는 더 나은 복원력과 규모 조정 능력을 갖춘 확장된 Amazon S3 API 기능 세트를 통해 안전한 객체 스토리지를 전달하며, 견고한 모바일 엣지 및 연결이 끊긴 환경에 적합합니다. Amazon S3 compatible storage on Snow Family devices를 사용하면 고객은 Snow Family 디바이스에서 데이터를 저장하고 엣지 컴퓨팅 사용 사례에서 고가용성 애플리케이션을 실행할 수 있습니다.
Snowball Edge 디바이스에 Amazon S3 버킷을 생성하여 로컬 데이터 액세스, 로컬 데이터 처리 및 데이터 상주가 필요한 애플리케이션을 위해 온 프레미스에서 객체를 저장하고 검색할 수 있습니다. Amazon S3 compatible storage on Snow Family devices는 Amazon S3 API를 사용하는 SNOW라는 새로운 스토리지 클래스를 제공합니다. 아울러 다수의 Snowball Edge 디바이스에 걸쳐 데이터를 이중화된 방식으로 안정적으로 저장하도록 설계되었습니다. 버킷 수명 주기 정책, 암호화, 태그 지정을 포함하여 Amazon S3에서와 같이 Snowball Edge 버킷에서 동일한 API 및 기능을 사용할 수 있습니다. 디바이스 또는 디바이스가 반환되면 Snow Family 디바이스의 Amazon S3 호환 스토리지에서 생성되거나 저장된 모든 데이터가 삭제됩니다. AWS자세한 내용은 로컬 컴퓨팅 및 스토리지 전용 작업을 참조하십시오.
Amazon S3 compatible storage on Snow Family devices는 독립형 구성 또는 클러스터 구성으로 배포할 수 있습니다. 독립형 구성에서는 사용 가능한 S3 용량을 디바이스에 프로비저닝할 수 있으며 남은 용량을 블록 스토리지로 사용할 수 있습니다. 클러스터 설정에서는 모든 데이터 디스크 용량이 S3 스토리지에 사용됩니다. 클러스터 크기에 따라 S3 서비스는 1~2개 디바이스의 디바이스 내결함성을 유지하도록 설계되었습니다. 내결함성에 대한 자세한 내용은 클러스터링 개요 섹션을 확인하세요.
Amazon S3 compatible storage on Snow Family devices를 설정하고 사용하려면 이 안내서의 Amazon S3 compatible storage on Snow Family devices 섹션을 참조하세요.
Amazon S3 암호화를 사용한 AWS KMS
데이터를 가져오거나 내보낼 때 기본 AWS 관리형 또는 고객 관리형 암호화 키를 사용하여 데이터를 보호할 수 있습니다.
Amazon S3 기본 버킷 암호화를 AWS KMS 관리형 키와 함께 사용
다음과 같이 AWS 관리형 암호화를 활성화하려면 AWS KMS
-
https://console.aws.amazon.com/s3/
에서 Amazon S3 콘솔을 엽니다. 암호화할 Amazon S3 버킷을 선택합니다.
오른쪽에 나타나는 마법사에서 속성을 선택합니다.
기본 암호화 상자에서 비활성화됨(이 옵션은 회색으로 표시됨)을 선택하여 기본 암호화를 활성화합니다.
-
암호화 방법으로 AWS-KMS를 선택한 다음 사용할 KMS 키를 선택합니다. 이 키는 버킷에 있는 객체를 암호화하는 데 사용됩니다.
저장을 선택합니다.
Snowball Edge 작업을 생성한 후 그리고 데이터를 가져오기 전에 기존 IAM 역할 정책에 명령문을 추가합니다. 이 역할은 주문 프로세스 중에 생성됩니다. 작업 유형에 따라 기본 역할은 Snowball-import-s3-only-role 또는 Snowball-export-s3-only-role과 유사한 이름을 갖습니다.
이러한 문의 예시는 다음과 같습니다.
데이터 가져오기
AWS KMS 관리 키를 사용한 서버 측 암호화 (SSE-KMS) 를 사용하여 가져오기 작업과 관련된 Amazon S3 버킷을 암호화하는 경우 IAM 역할에 다음 명령문도 추가해야 합니다.
예 Snowball IAM 역할 가져오기 예시
{ "Effect": "Allow", "Action": [ "kms: GenerateDataKey", "kms: Decrypt" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
데이터 내보내기
AWS KMS 관리 키를 통한 서버 측 암호화를 사용하여 내보내기 작업과 관련된 Amazon S3 버킷을 암호화하는 경우 IAM 역할에 다음 명령문도 추가해야 합니다.
예 Snowball IAM 역할 내보내기
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
고객 키를 사용한 S3 기본 버킷 암호화 사용 AWS KMS
KMS 키를 통한 기본 Amazon S3 버킷 암호화를 사용하여 가져오고 내보내는 데이터를 보호할 수 있습니다.
데이터 가져오기
고객 관리형 암호화를 활성화하려면 다음을 수행하십시오. AWS KMS
-
AWS Management Console 로그인하고 https://console.aws.amazon.com/kms
에서 AWS Key Management Service (AWS KMS) 콘솔을 엽니다. -
를 변경하려면 AWS 리전페이지 오른쪽 상단에 있는 지역 선택기를 사용하십시오.
왼쪽 탐색 창에서 고객 관리형 키를 선택한 다음 사용하려는 버킷과 연결된 KMS 키를 선택합니다.
키 정책이 아직 확장되지 않은 경우 키 정책을 확장합니다.
키 사용자 섹션에서 추가를 선택하고 IAM 역할을 검색합니다. IAM 역할을 선택하고 추가를 선택합니다.
또는 정책 보기로 전환을 선택하여 키 정책 문서를 표시하고 키 정책에 문을 추가할 수 있습니다. 정책의 예시는 다음과 같습니다.
예 고객 관리 키에 AWS KMS 대한 정책의
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/snowball-import-s3-only-role" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" }
이 정책을 AWS KMS 고객 관리형 키에 추가한 후에는 Snowball 작업과 관련된 IAM 역할도 업데이트해야 합니다. 기본적으로 해당 역할은 snowball-import-s3-only-role입니다.
예 Snowball IAM 역할 가져오기
{ "Effect": "Allow", "Action": [ "kms: GenerateDataKey", "kms: Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
자세한 설명은 AWS Snowball에 대한 자격 증명 기반 정책(IAM 정책) 사용 섹션을 참조하세요.
사용 중인 KMS 키는 다음과 같습니다.
“Resource”:“arn:aws:kms:region:AccoundID:key/*”
데이터 내보내기
예 AWS KMS 고객 관리 키에 대한 정책의
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/snowball-import-s3-only-role" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" }
이 정책을 AWS KMS 고객 관리형 키에 추가한 후에는 Snowball 작업과 관련된 IAM 역할도 업데이트해야 합니다. 기본적으로 해당 역할은 다음과 같습니다.
snowball-export-s3-only-role
예 Snowball IAM 역할 내보내기
{ "Effect": "Allow", "Action": [ "kms: GenerateDataKey", "kms: Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
이 정책을 AWS KMS 고객 관리형 키에 추가한 후에는 Snowball 작업과 관련된 IAM 역할도 업데이트해야 합니다. 기본적으로 해당 역할은 snowball-export-s3-only-role입니다.
서버 측 암호화를 통한 Amazon S3 암호화
AWS Snowball Amazon S3 관리형 암호화 키 (SSE-S3) 를 사용한 서버 측 암호화를 지원합니다. 서버 측 암호화는 저장 데이터를 보호하기 위한 것이고, SSE-S3에서는 Amazon S3의 저장 데이터를 보호하기 위해 강력한 멀티 팩터 암호화를 제공합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 관리형 암호화 키를 통한 서버 측 암호화(SSE-S3)를 사용하여 데이터 보호섹션을 참조하세요.
참고
현재는 고객 제공 키 (SSE-C) 를 사용한 서버 측 암호화를 AWS Snowball 지원하지 않습니다. 그러나 해당 SSE 유형을 사용하여 가져온 데이터를 보호하고 싶을 수 있으며, 내보내려는 데이터에 해당 SSE 유형을 이미 사용하고 있을 수 있습니다. 이 경우에는 다음 사항에 유의해야 합니다.
-
가져오기 - SSE-C를 사용하여 S3으로 가져온 객체를 암호화하려면, SSE-KMS 또는 SSE-S3 암호화를 버킷 정책의 일부로 설정한 다른 버킷으로 해당 객체를 복사합니다.
-
내보내기 - SSE-C를 사용하여 암호화된 객체를 내보내려면, 먼저 서버 측 암호화를 제공하지 않거나 버킷 정책에 SSE-KMS 또는 SSE-S3가 지정되어 있는 다른 버킷으로 해당 객체를 복사합니다.
Snowball Edge 클러스터
AWS Snowball 서비스의 경우 클러스터는 로컬 스토리지 및 컴퓨팅 용도로 단일 논리 유닛으로 사용되는 Snowball Edge 디바이스의 집합입니다.
클러스터는 AWS Snowball Edge 디바이스를 3~16개 디바이스 그룹으로 논리적으로 그룹화한 것입니다. 클러스터는 단일 작업으로 생성됩니다. 클러스터는 향상된 내구성과 스토리지 용량을 제공합니다. 이 섹션에서는 Amazon S3 compatible storage on Snow Family devices를 사용하는 Snowball Edge 클러스터에 대한 정보를 제공합니다.
AWS Snowball Edge 클러스터 작업 시 고려 사항
Snowball Edge 클러스터 사용을 계획할 때에는 다음 고려 사항에 유의하세요.
-
클러스터에 발생할 수 있는 성능 및 안정성 문제를 줄이려면 중복 전원 장치를 준비하는 것이 좋습니다.
-
독립형 로컬 스토리지 및 컴퓨팅 작업과 마찬가지로 별도의 가져오기 작업의 일부로 추가 디바이스를 주문하지 않고는 클러스터에 저장된 데이터를 Amazon S3로 가져올 수 없습니다. 이 디바이스를 주문하면 클러스터에서 디바이스로 데이터를 전송하고, 가져오기 작업용 디바이스를 반환할 때 데이터를 가져올 수 있습니다.
-
Amazon S3에서 클러스터로 데이터를 가져오려면 별도의 내보내기 작업을 생성하고 이 데이터를 내보내기 작업이 수행되는 디바이스에서 클러스터로 복사합니다.
-
콘솔 AWS CLI, 또는 AWS SDK를 사용하여 클러스터 작업을 생성할 수 있습니다.
-
클러스터 노드에는 노드 ID가 있습니다. 노드 ID는 콘솔, AWS SDK 또는 Snowball Edge 클라이언트에서 가져올 수 있는 디바이스의 작업 ID와 동일합니다. AWS CLI노드 ID를 사용하여 클러스터에서 기존 노드를 제거할 수 있습니다. 잠금 해제된 디바이스에 대해
snowballEdge describe-device명령을 사용하거나 잠금 해제된 클러스터에 대해describe-cluster명령을 사용하여 노드 ID 목록을 조회할 수 있습니다. -
클러스터의 수명은 클러스터가 프로비저닝될 때 클러스터 디바이스에 부여된 보안 인증서에 따라 정해집니다.
-
클러스터의 일부인 반품된 디바이스를 AWS 받으면 디바이스를 완전히 삭제합니다. 이 삭제는 NIST(National Institute of Standards and Technology) 800-88 표준에 따른 것입니다.
