AWS KMS를 사용하여 데이터 암호화
Storage Gateway는 SSL/TLS(Secure Socket Layer/Transport Layer Security)를 사용하여 게이트웨이 어플라이언스와 AWS 스토리지 간에 전송되는 데이터를 암호화합니다. 기본적으로 Storage Gateway는 Amazon S3 관리형 암호화 키(SSE-S3)를 사용하여 Amazon S3에 저장되는 모든 데이터에 대해 서버 측 암호화를 수행합니다. Storage Gateway API를 사용하면 AWS Key Management Service(SSE-KMS) 키를 사용하는 서버 측 암호화로 클라우드에 저장된 데이터를 암호화하도록 게이트웨이를 구성할 수 있습니다.
중요
서버 측 암호화에 AWS KMS 키를 사용하는 경우 대칭 키를 선택해야 합니다. Storage Gateway에서는 비대칭 키가 지원되지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 대칭 및 비대칭 키 사용을 참조하세요.
파일 공유 암호화
파일 공유의 경우 SSE-KMS를 사용하여 AWS KMS 관리형 키로 객체를 암호화하도록 게이트웨이를 구성할 수 있습니다. Storage Gateway API를 사용하여 파일 공유에 기록된 데이터를 암호화하는 방법에 대한 자세한 내용은 AWS Storage Gateway API 참조에서 CreateNFSFileShare를 참조하세요.
볼륨 암호화
캐시 볼륨 및 저장 볼륨의 경우 Storage Gateway API를 사용하여 AWS KMS 관리형 키로 클라우드에 저장된 볼륨 데이터를 암호화하도록 게이트웨이를 구성할 수 있습니다. 관리형 키 중 하나를 KMS 키로 지정할 수 있습니다. 볼륨을 암호화하는 데 사용하는 키는 볼륨이 생성된 후에는 변경할 수 없습니다. Storage Gateway API를 사용하여 캐시 또는 저장 볼륨에 기록된 데이터를 암호화하는 방법에 대한 자세한 내용은 AWS Storage Gateway API 참조에서 CreateCachediSCSIVolume 또는 CreateStorediSCSIVolume을 참조하세요.
테이프 암호화
가상 테이프의 경우 Storage Gateway API를 사용하여 AWS KMS 관리형 키로 클라우드에 저장된 테이프 데이터를 암호화하도록 게이트웨이를 구성할 수 있습니다. 관리형 키 중 하나를 KMS 키로 지정할 수 있습니다. 테이프 데이터를 암호화하는 데 사용하는 키는 테이프가 생성된 후에는 변경할 수 없습니다. Storage Gateway API를 사용하여 가상 테이프에 기록된 데이터를 암호화하는 방법에 대한 자세한 내용은 AWS Storage Gateway API 참조에서 CreateTapes를 참조하세요.
AWS KMS를 사용하여 데이터를 암호화할 경우 다음 사항에 유의하십시오.
-
데이터는 클라우드에 암호화되어 저장됩니다. 즉, 데이터는 Amazon S3에서 암호화됩니다.
-
IAM 사용자는 AWS KMS API 작업을 호출하는 데 필요한 권한을 갖고 있어야 합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS KMS에서 IAM 정책 사용을 참조하세요.
-
AWS AWS KMS 키를 삭제 또는 비활성화하거나 권한 부여 토큰을 취소하면, 볼륨 또는 테이프의 데이터에 액세스할 수 없습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서에서 KMS 키 삭제를 참조하세요.
-
KMS로 암호화된 볼륨에서 스냅샷을 생성하면 스냅샷이 암호화됩니다. 이때 스냅샷은 볼륨의 KMS 키를 상속합니다.
-
KMS로 암호화된 스냅샷에서 새로운 볼륨을 생성하면 볼륨이 암호화됩니다. 이때 새로운 볼륨에 다른 KMS 키를 지정할 수 있습니다.
참고
Storage Gateway는 현재 KMS로 암호화된 볼륨이나 KMS로 암호화된 스냅샷의 복구 시점에서 암호화되지 않은 볼륨을 생성하는 것을 지원하지 않습니다.
AWS KMS에 대한 자세한 내용은 AWS Key Management Service란 무엇입니까?를 참조하십시오.
