AWS KMS key를 사용하여 지표 내보내기 암호화 - Amazon Simple Storage Service
S3 테이블 버킷 KMS 권한

AWS KMS key를 사용하여 지표 내보내기 암호화

고객 관리형 키를 사용하여 지표 내보내기를 암호화할 수 있는 권한을 Amazon S3 스토리지 렌즈에 부여하려면 키 정책을 사용해야 합니다. KMS 키를 사용하여 S3 스토리지 렌즈 지표 내보내기를 암호화할 수 있도록 키 정책을 업데이트하려면 다음 단계를 따릅니다.

KMS 키를 사용한 데이터 암호화 권한을 S3 스토리지 렌즈에 부여

  1. 고객 관리형 키를 소유한 AWS 계정을 사용하여 AWS Management 콘솔에 로그인합니다.

  2. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.

  3. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.

  4. 탐색 창에서 고객 관리형 키를 선택합니다.

  5. 고객 관리형 키(Customer managed keys)에서 지표 내보내기를 암호화하는 데 사용할 키를 선택합니다. AWS KMS keys는 리전별로 다르며 지표 내보내기 대상 S3 버킷과 동일한 리전에 있어야 합니다.

  6. 키 정책(Key policy)에서 정책 보기로 전환(Switch to policy view)을 선택합니다.

  7. 키 정책을 업데이트하려면 편집(Edit)을 선택합니다.

  8. 키 정책 편집에서 기존 키 정책에 다음 키 정책을 추가합니다. 이 정책을 사용하려면 user input placeholders를 사용자의 정보로 대체합니다.

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. 변경 사항 저장을 선택합니다.

고객 관리형 키 생성 및 키 정책 사용에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드의 다음 주제를 참조하십시오.

AWS KMS PUT 키 정책 API 작업(PutKeyPolicy)을 사용하면 REST API, AWS CLI 및 SDK를 사용하여 지표 내보내기를 암호화하는 데 사용할 키 정책을 고객 관리형 키에 복사할 수 있습니다.

S3 테이블 버킷 내보내기에 대한 추가 권한

S3 Storage Lens 지표를 포함한 S3 테이블의 모든 데이터는 기본적으로 SSE-S3 암호화로 암호화됩니다. AWS KMS 키(SSE-KMS)를 사용하여 Storage Lens 지표 보고서를 암호화하도록 선택할 수 있습니다. KMS 키로 S3 Storage Lens 지표 보고서를 암호화하도록 선택한 경우 추가 권한이 있어야 합니다.

  1. 사용자 또는 IAM 역할에 다음 권한이 필요합니다. IAM 콘솔 https://console.aws.amazon.com/iam/에서 이러한 권한을 부여할 수 있습니다.

    • 사용된 AWS KMS 키의 kms:DescribeKey

  2. AWS KMS 키에 대한 키 정책에는 다음 권한이 필요합니다. AWS KMS 콘솔(https://console.aws.amazon.com/kms)에서 이러한 권한을 부여할 수 있습니다. 이 정책을 사용하려면 user input placeholders를 사용자의 정보로 대체합니다.

    {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}