AWS X-Ray의 데이터 보호

AWS X-Ray는 항상 트레이스 및 관련 유휴 데이터를 암호화합니다. 규정 준수 또는 내부 요건 때문에 암호화 키를 감사하고 비활성화해야 하는 경우, 데이터 암호화에 AWS Key Management Service (AWS KMS) 키를 사용하도록 X-Ray를 구성할 수 있습니다.

X-Ray는 aws/xray라는 이름의 AWS 관리형 키을 제공합니다. AWS CloudTrail에서 키 사용을 감사하고 키 자체를 관리할 필요가 없으면 이 키를 사용하십시오. 키에 대한 액세스를 관리하거나 키 교체를 구성해야 할 경우 고객 관리 키를 생성할 수 있습니다.

암호화 설정을 변경하면 X-Ray가 데이터 키를 생성하고 전파하느라 시간이 다소 소모됩니다. 새 키를 처리하는 동안 X-Ray가 새 설정과 기존 설정을 조합하여 데이터를 암호화할 수 있습니다. 암호화 설정을 변경할 때 기존 데이터는 재암호화하지 않습니다.

참고

X-Ray가 KMS 키로 추적 데이터를 암호화하거나 암호화를 해제할 때 AWS KMS 요금이 부과됩니다.

• 기본 암호화 – 무료.

• AWS 관리형 키— 키 사용료를 지불하세요.

• 고객 관리 키 – 키 보관 및 사용료가 부과됩니다.

자세한 내용은 AWS Key Management Service 요금을 참조하세요.

참고

X-Ray 인사이트 알림은 현재 고객 관리 키를 지원하지 않는 Amazon EventBridge로 이벤트를 전송합니다. 자세한 내용은 Amazon EventBridge의 데이터 보호를 참조하십시오.

고객 관리 키를 사용하여 암호화된 트레이스를 보도록 X-Ray를 구성하려면 고객 관리 키에 대한 사용자 수준 액세스 권한이 있어야 합니다. 자세한 정보는 암호화에 대한 사용자 권한 섹션을 참조하세요.

CloudWatch console

CloudWatch 콘솔을 사용하여 암호화에 KMS 키를 사용하도록 X-Ray를 구성하려면

1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

2. 왼쪽 탐색 창에서 설정을 선택합니다.

3. X-Ray 추적 섹션의 암호화에서 설정 보기를 선택합니다.

4. 암호화 구성 섹션에서 편집을 선택합니다.

5. KMS 키 사용을 선택합니다.

6. 드롭다운 메뉴에서 키를 선택합니다.

   • aws/xray — AWS 관리형 키를 사용하십시오.

   • 키 별칭 – 계정에서 고객 관리형 CMK를 사용합니다.

   • 키 ARN 수동 입력 – 다른 계정에 있는 고객 관리 키를 사용합니다. 나타나는 필드에 키의 Amazon 리소스 이름(ARN)을 전체 다 입력합니다.

7. Update encryption (암호화 업데이트)를 선택합니다.

X-Ray console

X-Ray 콘솔을 사용하여 암호화에 KMS 키를 사용하도록 X-Ray를 구성하려면

1. X-Ray 콘솔을 엽니다.

2. 암호화를 선택합니다.

3. KMS 키 사용을 선택합니다.

4. 드롭다운 메뉴에서 키를 선택합니다.

   • aws/xray — AWS 관리형 키를 사용하십시오.

   • 키 별칭 – 계정에서 고객 관리형 CMK를 사용합니다.

   • 키 ARN 수동 입력 – 다른 계정에 있는 고객 관리 키를 사용합니다. 나타나는 필드에 키의 Amazon 리소스 이름(ARN)을 전체 다 입력합니다.

5. Apply(적용)를 선택합니다.

참고

X-Ray는 비대칭 KMS 키를 지원하지 않습니다.

X-Ray가 암호화 키에 액세스하지 못하면 데이터 저장이 중단됩니다. KMS 키가 액세스를 잃어버리거나 현재 사용 중인 키를 비활성화하는 경우 이런 일이 발생합니다. 이 경우 X-Ray가 탐색 창에 알림을 표시합니다.

X-Ray API로 암호화 설정을 구성하려면 AWS X-Ray API로 샘플링, 그룹 및 암호화 설정 구성 섹션을 참조하십시오.