저장된 데이터의 암호화 비활성화

암호화는 I/O 대기 시간 및 처리량에 최소한의 영향을 미칩니다. 암호화 및 암호 해독은 사용자, 애플리케이션 및 서비스에 아무런 영향을 미치지 않습니다. 모든 데이터와 메타데이터는 디스크에 기록되기 전에 사용자를 대신하여 Amazon EFS에서 암호화되고 클라이언트가 읽기 전에 암호 해독됩니다. 암호화된 파일 시스템에 액세스하기 위해 클라이언트 도구, 애플리케이션 또는 서비스를 변경할 필요가 없습니다.

조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다. AWS Identity and Access Management(IAM) 자격 증명 기반 정책을 사용하여 Amazon EFS 파일 시스템 리소스에 대해 저장된 데이터의 암호화를 적용할 수 있습니다. IAM 조건 키로 사용자가 암호화되지 않은 EFS 파일 시스템을 생성하지 못하도록 할 수 있습니다.

예를 들어 사용자가 암호화된 EFS 파일 시스템만 만들 수 있도록 명시적으로 허용하는 IAM 정책은 다음과 같은 효과, 작업 및 조건을 조합하여 사용합니다.

Effect는 Allow입니다.
Action은 elasticfilesystem:CreateFileSystem입니다.
Condition elasticfilesystem:Encrypted는 true입니다.

다음 예제에서는 보안 주체에서 암호화된 파일 시스템만 생성하도록 권한을 부여하는 IAM 자격 증명 기반 정책을 보여 줍니다.


{
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}

*로 설정된 Resource 속성은 IAM 정책이 생성된 모든 EFS 리소스에 적용됨을 의미합니다. 태그를 기반으로 조건부 속성을 추가하여 데이터 분류가 필요한 EFS 리소스의 하위 집합에만 적용할 수 있습니다.

또한 조직의 모든 AWS 계정 또는 OU에 대한 서비스 제어 정책을 사용하여 AWS Organizations 수준에서 암호화된 Amazon EFS 파일 시스템을 생성할 수 있습니다. AWS Organizations의 서비스 제어 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서의 서비스 제어 정책을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS CLI를 사용하여 암호화된 파일 시스템 생성

모든 EFS 파일 시스템을 암호화해야 하는 IAM 정책 생성