세션 데이터의 KMS 키 암호화를 설정하려면(콘솔)

AWS Key Management Service(AWS KMS) 를 사용하여 암호화 키를 만들고 관리합니다. AWS KMS로 다양한 AWS 서비스 및 애플리케이션의 암호화 사용을 제어할 수 있습니다. KMS 키 암호화를 사용하여 관리형 노드와 AWS 계정의 사용자 로컬 머신 사이에 전송되는 세션 데이터가 암호화되도록 지정할 수 있습니다. (이는 AWS에서 기본적으로 제공하는 TLS 1.2 암호화에 대한 추가 사항입니다.) Session Manager세션 데이터를 암호화하려면 를 사용하여 대칭 KMS 키를 만드십시오. AWS KMS

AWS KMSStandard_StreamInteractiveCommands, 및 NonInteractiveCommands 세션 유형에 암호화를 사용할 수 있습니다. AWS KMS(AWS Systems Manager)에서 생성한 키를 사용하여 세션 데이터를 암호화하는 옵션을 사용하려면 버전 2.3.539.0 이상의 SSM Agent가 관리형 노드에 설치되어 있어야 합니다.

참고

AWS Systems Manager 콘솔에서 관리형 노드의 암호를 재설정하려면 AWS KMS 암호화를 허용해야 합니다. 자세한 설명은 관리형 노드의 암호 재설정 섹션을 참조하세요.

AWS 계정에서 생성한 키를 사용할 수 있습니다. 다른 AWS 계정에서 생성된 키를 사용할 수도 있습니다. 다른 AWS 계정에 있는 키 생성자는 키를 사용하는 데 필요한 권한을 제공해야 합니다.

세션 데이터에 대해 KMS 키 암호화를 설정하면 세션을 시작하는 사용자와 거기에 연결하는 관리형 노드 모두에 키를 사용할 권한이 있어야 합니다. Session Manager과 함께 AWS Identity and Access Management(IAM) 정책을 통해 KMS 키를 사용할 수 있는 권한을 제공합니다. 자세한 내용은 다음 주제를 참조하세요.

• 계정의 사용자에 대한 AWS KMS 권한 추가: Session Manager에 대한 샘플 IAM 정책.

• 계정의 관리형 노드에 대한 AWS KMS 권한 추가: 2단계: Session Manager의 인스턴스 권한 확인 또는 추가.

KMS 키 생성 및 관리에 대한 자세한 내용은 AWS Key Management Service Developer Guide를 참조하세요.

계정에서 AWS CLI를 사용하여 세션 데이터의 KMS 키 암호화를 설정하는 방법에 대한 자세한 내용은 Session Manager 기본 설정 문서 생성(명령줄) 또는 Session Manager 기본 설정 업데이트(명령줄) 섹션를 참조하세요.

참고

KMS 키 사용에 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하십시오.

세션 데이터의 KMS 키 암호화를 설정하려면(콘솔)

1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

2. 탐색 창에서 Session Manager를 선택합니다.

3. 기본 설정 탭을 선택하고 편집을 선택합니다.

4. KMS 암호화 활성화(Enable KMS encryption) 옆의 체크박스를 선택합니다.

5. 다음 중 하나를 수행합니다.

   • [내 현재 계정에서 KMS 키 선택(Select a KMS key in my current account)] 옆에 있는 버튼을 선택한 다음 목록에서 키를 선택합니다.

     -또는-

     Enter a KMS key alias or KMS key ARN(KMS 키 별칭 또는 KMS 키 ARN 입력) 옆의 버튼을 선택하십시오. 현재 계정에서 생성한 키의 KMS 키 별칭을 수동으로 입력하거나 다른 계정의 키에 대한 키 Amazon 리소스 이름(ARN)을 입력합니다. 예를 들어, 다음과 같습니다.

     • 키 별칭: alias/my-kms-key-alias

     • 키 ARN: arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

     -또는-

     [새 키 생성(Create new key)]을 선택하여 계정에서 새 KMS 키를 생성합니다. 새 키를 생성한 후 기본 설정 탭으로 돌아가서 계정의 세션 데이터를 암호화할 키를 선택하십시오.

   키 공유에 대한 자세한 내용은 AWS Key Management Service Developer Guide의 Allowing External AWS 계정 to Access a key를 참조하세요.

6. 저장을 선택합니다.