AWS 관리 콘솔을 사용하여 암호화된 파일 시스템 생성 - Amazon Elastic File System을 사용하여 파일 데이터 암호화
1단계. 파일 시스템 설정 구성2단계. 네트워크 액세스 구성3단계. 파일 시스템 정책 생성4단계. 검토 및 생성

AWS 관리 콘솔을 사용하여 암호화된 파일 시스템 생성

다음 절차에 따라 AWS 관리 콘솔을 사용하여 암호화된 Amazon EFS 파일 시스템을 생성합니다.

1단계. 파일 시스템 설정 구성

이 단계에서는 수명 주기 관리, 성능 및 처리량 모드, 저장된 데이터의 암호화 등 일반 파일 시스템의 설정을 구성합니다.

  1. AWS 관리 콘솔에 로그인한 후 Amazon EFS 콘솔을 엽니다.

  2. 파일 시스템 생성(Create file system)을 선택하여 파일 시스템 생성(Create file system) 대화 상자를 엽니다. 기본 암호화 활성화를 포함하는 권장 설정을 사용하여 파일 시스템을 생성하는 방법에 대한 자세한 내용은 Amazon EFS 파일 시스템 생성을 참조하세요.

    Dialog box for creating an EFS file system with name input and VPC selection options.

    EFS 파일 시스템 생성

  3. (선택 사항) 서비스 권장 설정을 사용하여 파일 시스템을 만드는 대신 사용자 지정된 파일 시스템을 만들려면 사용자 지정(Customize)을 선택합니다.

    파일 시스템 설정 페이지가 표시됩니다.

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    EFS 파일 시스템 생성: 일반 설정

  4. 일반(General) 설정에 다음 세부 정보를 입력합니다.

    • (선택 사항) 파일 시스템의 이름(Name)을 입력합니다.

    • 자동 백업(Automatic backups)은 기본적으로 설정되어 있습니다. 확인란을 선택 취소하여 자동 백업을 해제할 수 있습니다. 자세한 내용은 Amazon EFS와 함께 AWS Backup 사용을 참조하세요.

    • 수명 주기 관리(Lifecycle management) 정책을 선택합니다. Amazon EFS 수명 주기 관리는 파일 시스템에 대한 비용 효율적인 파일 스토리지를 자동으로 관리합니다. 수명 주기 관리가 활성화되면 설정된 기간 동안 액세스하지 않은 파일을 Infrequent Access(IA) 스토리지 클래스로 마이그레이션합니다. 수명 주기 정책을 사용하여 해당 기간을 정의합니다. 수명 주기 관리를 사용하지 않으려면 없음(None)을 선택합니다. 자세한 내용은 Amazon EFS 사용 설명서EFS 수명 주기 관리를 참조하세요.

    • 성능 모드(Performance mode)를 선택합니다(기본 범용 모드(General Purpose mode) 또는 최대 I/O(Max I/O)). 자세한 내용은 Amazon EFS 사용 설명서성능 모드를 참조하세요.

    • 처리량 모드(Throughput mode)를 선택합니다(기본 버스팅 모드(Bursting mode) 또는 프로비저닝 모드(Provisioned mode)).

    • 프로비저닝(Provisioned)을 선택한 경우 (프로비저닝된 처리량(Mib/s)(Provisioned Throughput (MiB/s)) 필드가 표시됩니다. 파일 시스템에 프로비저닝할 처리량을 입력합니다. 처리량을 입력하면 콘솔이 필드 옆에 월별 예상 비용을 표시합니다. 자세한 내용은 Amazon EFS 사용 설명서처리량 모드를 참조하세요.

    • 암호화(Encryption)의 경우, 저장된 데이터 암호화가 기본적으로 활성화되어 있습니다. 기본적으로 AWS Key Management Service(AWS KMS) EFS 서비스 키(aws/elasticfilesystem)를 사용합니다. 암호화에 사용할 다른 KMS 키를 선택하려면 암호화 설정 사용자 지정을 확장하고 목록에서 키를 선택합니다. 또는 사용하려는 KMS 키에 대한 KMS 키 ID 또는 Amazon 리소스 이름(ARN)을 입력합니다.

      새 키를 만들어야 하는 경우 AWS KMS 키 생성(Create an AWS KMS key)을 선택하여 AWS KMS 콘솔을 시작하고 새 키를 만듭니다.

  5. (선택 사항) 태그 추가(Add tag)를 선택하여 파일 시스템에 키-값 쌍을 추가합니다.

  6. 다음(Next)을 선택하여 구성 프로세스의 네트워크 액세스(Network Access) 단계를 계속합니다.

2단계. 네트워크 액세스 구성

이 단계에서는 Virtual Private Cloud(VPC) 및 탑재 대상을 포함하여 파일 시스템의 네트워크 설정을 구성합니다. 각 탑재 대상에 대해 가용 영역, 서브넷, IP 주소 및 보안 그룹을 설정합니다.

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

EFS 파일 시스템 생성: 네트워크 액세스

  1. EC2 인스턴스를 파일 시스템에 연결할 Virtual Private Cloud(VPC)를 선택합니다. 자세한 내용은 Amazon EFS 사용 설명서파일 시스템 네트워크 액세스 가능성 관리를 참조하세요.

    • 가용 영역(Availability zone) – 기본적으로 탑재 대상은 AWS 리전의 가용 영역별로 하나씩 구성됩니다. 특정 가용 영역에 탑재 대상을 사용하지 않으려면 제거(Remove)를 선택하여 해당 영역에서 탑재 대상을 삭제합니다. 파일 시스템에 액세스하려는 모든 가용 영역에 탑재 대상을 만듭니다. 이 작업에 비용이 들지 않습니다.

    • 서브넷 ID(Subnet ID) – 가용 영역의 사용 가능한 서브넷 중에서 선택합니다. 기본 서브넷이 미리 선택되어 있습니다. 모범 사례에 따라 선택한 서브넷이 퍼블릭 또는 프라이빗인지 확인하는 것이 가장 좋습니다.

    • IP 주소(IP Address) – 기본적으로 Amazon EFS는 서브넷의 사용 가능한 주소에서 IP 주소를 자동으로 선택합니다. 또는 서브넷에 있는 특정 IP 주소를 입력할 수 있습니다. 탑재 대상은 단일 IP 주소를 사용하지만 중복된 고가용성 네트워크 리소스입니다.

    • 보안 그룹(Security groups) – 탑재 대상에 하나 이상의 보안 그룹을 지정할 수 있습니다. 모범 사례에 따라 보안 그룹이 EFS 탑재용(NFS 포트 2049)으로만 사용되고 인바운드 규칙이 다른 VPC CIDR 블록 범위의 포트 2049만 허용하거나 보안 그룹을 EFS에 액세스해야 하는 리소스의 소스로 사용하는 것이 가장 좋습니다. 자세한 내용은 Amazon EFS 사용 설명서Amazon EC2 인스턴스 및 탑재 대상에 보안 그룹 사용을 참조하세요.

      다른 보안 그룹을 추가하거나 보안 그룹을 변경하려면 보안 그룹 선택(Choose security groups)을 선택하고 목록에서 다른 보안 그룹을 추가합니다. 기본 보안 그룹을 사용하지 않으려면 삭제하면 됩니다. 자세한 내용은 Amazon EFS 사용 설명서보안 그룹 생성을 참조하세요.

  2. 탑재 대상이 없는 가용 영역에 탑재 대상을 만들려면 탑재 대상 추가(Add mount target)를 선택합니다. 탑재 대상이 각 가용 영역에 대해 구성된 경우 이 선택 항목을 사용할 수 없습니다.

  3. 다음(Next)을 선택하여 계속 진행합니다. 파일 시스템 정책(File system policy) 페이지가 표시됩니다.

3단계. 파일 시스템 정책 생성

이 단계에서는 파일 시스템에 대한 NFS 클라이언트 액세스를 제어하는 파일 시스템 정책을 만듭니다. EFS 파일 시스템 정책은 파일 시스템에 대한 NFS 클라이언트 액세스를 제어하는 데 사용하는 IAM 리소스 정책입니다. 자세한 내용은 Amazon EFS 사용 설명서IAM을 사용하여 Amazon EFS에 대한 NFS 액세스 제어를 참조하세요.

File system policy configuration interface with policy options and JSON editor.

EFS 파일 시스템 생성: 파일 시스템 정책

  1. 정책 옵션에서 다음과 같은 사용 가능한 사전 구성된 정책 옵션을 선택하는 것이 좋습니다.

    • 기본적으로 루트 액세스 차단

    • 기본적으로 읽기 전용 액세스 적용

    • 모든 클라이언트에 전송 중 데이터 암호화 적용

  2. 추가 권한 부여(Grant additional permissions)를 사용하여 다른 AWS 계정을 비롯한 추가 IAM 보안 주체에게 파일 시스템 권한을 부여합니다. 추가(Add)를 선택한 다음, 권한을 부여할 엔터티의 보안 주체 ARN을 입력하고 부여할 권한(Permissions)을 선택합니다.

  3. 정책 편집기(Policy editor)를 사용하여 미리 구성된 정책을 사용자 지정하거나 요구 사항에 따라 고유한 정책을 만듭니다. 미리 구성된 정책 중 하나를 선택하면 정책 편집기에 JSON 정책 정의가 표시됩니다.

  4. 다음(Next)을 선택하여 계속 진행합니다. 검토 및 생성(Review and create) 페이지가 표시됩니다.

4단계. 검토 및 생성

이 단계에서 파일 시스템 설정을 검토하고 수정한 다음 파일 시스템을 만듭니다.

Review and create page showing file system settings, network access, and policy details.

EFS 파일 시스템 생성: 검토 및 생성

  1. 각 파일 시스템의 구성 그룹을 검토합니다. 편집(Edit)을 선택하여 각 그룹을 변경할 수 있습니다.

  2. 생성(Create)을 선택하여 파일 시스템을 만들고 파일 시스템 페이지로 돌아갑니다.

  3. 파일 시스템(File systems) 페이지에는 다음 이미지와 같이 파일 시스템 및 해당 구성 세부 정보가 표시됩니다.

    MyFS file system details showing general settings, performance mode, and metered size.

    파일 시스템