를 사용한 데이터 암호화AWS KMS - AWS Storage Gateway

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용한 데이터 암호화AWS KMS

AWS Storage Gateway는 SSL/TLS(Secure Socket Layer/Transport Layer Security)를 사용하여 게이트웨이 어플라이언스와 AWS 스토리지 간에 전송되는 데이터를 암호화합니다. 기본적으로 Storage Gateway는 Amazon S3가 관리하는 암호화 키(SSE-S3)를 사용하여 Amazon S3에 저장되는 모든 데이터에 대해 서버 측 암호화를 수행합니다. Storage Gateway API를 사용하여 AWS 키 관리 서비스(SSE-KMS) 고객 마스터 키(CMK)와 함께 서버 측 암호화를 사용해 클라우드에 저장된 데이터를 암호화하도록 게이트웨이를 구성할 수 있습니다.

중요

서버 측 암호화에 AWS KMS CMK를 사용하는 경우 대칭 CMK를 선택해야 합니다. Storage Gateway는 비대칭 CMKs를 지원하지 않습니다. 자세한 내용은 https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html대칭 및 비대칭 키 사용AWS Key Management Service Developer Guide을 참조하십시오.

파일 공유 암호화

파일 공유의 경우, SSE-KMS를 사용하여 AWS KMS–관리형 키로 객체를 암호화하도록 게이트웨이를 구성할 수 있습니다. API를 사용하여 파일 공유에 작성된 데이터를 암호화하는 방법에 대한 자세한 내용은 Storage Gateway의 CreateNFSFileShare 단원을 참조하십시오.AWS Storage Gateway API Reference

볼륨 암호화

캐싱 볼륨과 저장 볼륨의 경우, AWS KMS API를 사용하여 – 관리형 키로 클라우드에 저장된 볼륨 데이터를 암호화하도록 게이트웨이를 구성할 수 있습니다.Storage Gateway 관리형 고객 마스터 키(CMK) 중 하나를 KMS 키로 지정할 수 있습니다. 볼륨을 암호화하는 데 사용하는 CMK는 볼륨이 생성된 후에는 변경할 수 없습니다. API를 사용하여 캐싱 볼륨이나 저장 볼륨에 기록된 데이터를 암호화하는 방법에 대한 자세한 내용은 Storage Gateway의 CreateCachediSCSIVolume 또는 CreateStorediSCSIVolume을 참조하십시오.AWS Storage Gateway API Reference

테이프 암호화

가상 테이프의 경우, AWS KMS API를 사용하여 – 관리형 키로 클라우드에 저장된 테이프 데이터를 암호화하도록 게이트웨이를 구성할 수 있습니다.Storage Gateway 관리형 고객 마스터 키(CMK) 중 하나를 KMS 키로 지정할 수 있습니다. 테이프 데이터를 암호화하는 데 사용하는 CMK는 테이프가 생성된 후에는 변경할 수 없습니다. API를 사용하여 가상 테이프에 작성된 데이터를 암호화하는 방법에 대한 자세한 내용은 Storage Gateway의 CreateTapes를 참조하십시오.AWS Storage Gateway API Reference

AWS KMS를 사용하여 데이터를 암호화할 경우 다음 사항에 유의하십시오.

  • 데이터는 클라우드에 암호화되어 저장됩니다. 즉, 데이터는 Amazon S3에서 암호화됩니다.

  • IAM 사용자는 AWS KMS API 작업을 호출하는 데 필요한 권한이 있어야 합니다. 자세한 내용은 AWS KMS의 에서 IAM 정책 사용을 참조하십시오.AWS Key Management Service Developer Guide

  • CMK를 삭제 또는 비활성화하거나 권한 부여 토큰을 취소하면, 볼륨 또는 테이프의 데이터에 액세스할 수 없습니다. 자세한 내용은 https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html고객 마스터 키 삭제AWS Key Management Service Developer Guide를 참조하십시오.

  • KMS로 암호화된 볼륨에서 스냅샷을 생성하면 스냅샷이 암호화됩니다. 이때 스냅샷은 볼륨의 KMS 키를 상속합니다.

  • KMS로 암호화된 스냅샷에서 새로운 볼륨을 생성하면 볼륨이 암호화됩니다. 이때 새로운 볼륨에 다른 KMS 키를 지정할 수 있습니다.

    참고

    AWS Storage Gateway는 현재 KMS로 암호화된 볼륨이나 KMS로 암호화된 스냅샷의 복구 시점에서 암호화되지 않은 볼륨을 생성하는 것을 지원하지 않습니다.

AWS KMS에 대한 자세한 내용은 AWS Key Management Service란 무엇입니까? 단원을 참조하십시오.