암호화된 파일 시스템 생성
AWS 관리 콘솔, AWS CLI, Amazon EFS API 또는 AWS SDK를 사용하여 암호화된 파일 시스템을 생성할 수 있습니다. 파일 시스템을 생성할 때만 암호화를 활성화할 수 있습니다.
Amazon EFS는 키 관리를 위해 AWS KMS와 통합되며 CMK를 사용하여 파일 시스템을 암호화합니다. 파일 이름, 디렉터리 이름 및 디렉터리 콘텐츠와 같은 파일 시스템 메타데이터는 AWS 관리형 CMK를 사용하여 암호화되고 해독됩니다.
파일 콘텐츠 또는 파일 데이터는 선택한 CMK를 사용하여 암호화되고 해독됩니다. CMK는 다음 세 가지 형식 중 하나가 될 수 있습니다.
-
Amazon EFS용 AWS 관리형 CMK
-
AWS 계정의 고객 관리형 CMK
-
다른 AWS 계정의 고객 관리형 CMK
조직에는 CMK에 대한 액세스 제어 및 사용 정책 외에도 생성, 교체, 삭제에 대한 완전한 제어가 필요한 회사 또는 규제 정책이 적용될 수 있습니다. 그렇다면 고객 관리형 CMK를 사용하는 것이 좋습니다. 다른 시나리오에서는 AWS 관리형 CMK를 사용할 수 있습니다.
모든 사용자에게는 Amazon EFS용 AWS 관리형 CMK가 있으며, 별칭은 aws/elasticfilesystem입니다. AWS에서 이 CMK의 키 정책을 관리하므로 사용자가 변경할 수 없습니다. AWS 관리형 CMK를 생성하고 저장하는 데 드는 비용은 없습니다.
고객 관리형 CMK를 사용하여 파일 시스템을 암호화하려는 경우, 소유하고 있는 고객 관리형 CMK의 키 별칭을 선택합니다. 또는 다른 계정에서 소유한 고객 관리형 CMK의 Amazon 리소스 이름(ARN)을 입력해도 됩니다. 소유한 고객 관리형 CMK를 사용하여 키 정책 및 키 부여를 통해 키를 사용할 수 있는 서비스 및 사용자를 제어할 수 있습니다.
또한 키에 대한 액세스를 비활성화, 다시 활성화, 삭제 또는 취소할 시기를 선택하여 이러한 키의 수명 및 교체를 제어할 수 있습니다. 다른 AWS 계정의 키에 대한 액세스 관리에 대한 자세한 내용은 AWS KMS 개발자 안내서의 키 정책 변경을 참조하세요.
고객 관리형 CMK를 관리하는 방법에 대한 자세한 내용은 AWS KMS 개발자 안내서의 고객 마스터 키(CMK)를 참조하세요.
다음 단원에서는 AWS 관리 콘솔과 AWS CLI를 사용하여 암호화된 파일 시스템을 생성하는 방법에 대해 설명합니다.
