Amazon Aurora DSQL에 대한 데이터 암호화 - Amazon Aurora DSQL
KMS 키 유형저장 시 암호화KMS 및 데이터 키 사용KMS 키 권한 부여암호화 컨텍스트AWS KMS 모니터링암호화된 클러스터 생성키 제거 또는 업데이트고려 사항

Amazon Aurora DSQL에 대한 데이터 암호화

Amazon Aurora DSQL은 저장된 모든 사용자 데이터를 암호화합니다. 보안 강화를 위해 이 암호화는 AWS Key Management Service(AWS KMS)를 사용합니다. 이 기능을 사용하면 중요한 데이터 보호와 관련된 운영 부담 및 복잡성을 줄일 수 있습니다. 저장 시 암호화는 다음과 같은 이점을 제공합니다.

  • 민감한 데이터 보호의 운영 부담 감소

  • 엄격한 암호화 규정 준수 및 규제 요구 사항을 충족하는 보안에 민감한 애플리케이션 구축

  • 암호화된 클러스터에서 데이터를 항상 보호하여 데이터 보호 계층 추가

  • 조직 정책, 업계 또는 정부 규제, 규정 준수 요구 사항 충족

Aurora DSQL을 사용하면 엄격한 암호화 규정 준수 및 규제 요구 사항을 충족하는 보안에 민감한 애플리케이션을 구축할 수 있습니다. 이어지는 섹션에서는 신규 및 기존 Aurora DSQL 데이터베이스에 대한 암호화를 구성하고 암호화 키를 관리하는 방법을 설명합니다.

Aurora DSQL용 KMS 키 유형

Aurora DSQL은 AWS KMS와 통합되어 클러스터의 암호화 키를 관리합니다. 키 유형 및 상태에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서AWS Key Management Service concepts를 참조하세요. 새 클러스터를 생성할 때 다음 KMS 키 유형 중에서 선택하여 클러스터를 암호화할 수 있습니다.

AWS 소유 키

기본 암호화 유형. Aurora DSQL은 추가 비용 없이 이 키를 소유합니다. Amazon Aurora DSQL은 암호화된 클러스터에 액세스할 때 클러스터 데이터를 투명하게 복호화합니다. 암호화된 클러스터를 사용하거나 관리하기 위해 코드 또는 애플리케이션을 변경할 필요가 없으며 모든 Aurora DSQL 쿼리는 암호화된 데이터에서 작동합니다.

고객 관리형 키

AWS 계정에서 고객이 직접 키를 생성하고 소유하고 관리합니다. 고객이 KMS 키에 대해 전체 제어 권한을 가지며 AWS KMS 비용이 부과됩니다.

AWS 소유 키를 사용한 저장 시 암호화는 추가 비용 없이 제공됩니다. 그러나 고객 관리형 키에 대해서는 AWS KMS 비용이 부과됩니다. 자세한 내용은 AWS KMS 요금 페이지를 참조하세요.

언제든지 이러한 키 유형 간에 전환할 수 있습니다. 키 유형에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서Customer managed keysAWS 소유 키 섹션을 참조하세요.

참고

Aurora DSQL 저장 시 암호화는 Aurora DSQL을 사용할 수 있는 모든 AWS 리전에서 사용할 수 있습니다.

Aurora DSQL의 저장 시 암호화

Amazon Aurora DSQL에서는 256비트 고급 암호화 표준(AES-256)을 사용하여 저장 데이터를 암호화합니다. 이 암호화는 기본 스토리지에 대한 무단 액세스로부터 데이터를 보호하는 데 도움이 됩니다. AWS KMS는 클러스터의 암호화 키를 관리합니다. 기본 AWS 소유 키를 사용하거나 자체 AWS KMS 고객 관리형 키를 사용할 수 있습니다. Aurora DSQL 클러스터의 키 지정 및 관리에 대한 자세한 내용은 암호화된 Aurora DSQL 클러스터 생성Aurora DSQL 클러스터의 키 제거 또는 업데이트 섹션을 참조하세요.

AWS 소유 키

Aurora DSQL은 기본적으로 AWS 소유 키를 사용하여 모든 클러스터를 암호화합니다. 이러한 키는 무료로 사용 가능하며 계정 리소스를 보호하기 위해 매년 교체할 수 있습니다. 이러한 키를 보거나 관리하거나 사용하거나 감사할 필요가 없으므로 데이터 보호를 위해 별도로 작업할 필요가 없습니다. AWS 소유 키에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드AWS 소유 키를 참조하십시오.

고객 관리형 키

고객은 AWS 계정에서 고객 관리형 키를 만들고 소유하고 관리합니다. 고객은 정책, 암호화 자료, 태그 및 별칭을 포함하여 이러한 KMS 키를 완전히 제어할 수 있습니다. 권한 관리에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서Customer managed keys를 참조하세요.

클러스터 수준 암호화를 위해 고객 관리형 키를 지정하면 Aurora DSQL은 해당 키를 사용하여 클러스터와 클러스터의 모든 리전 데이터를 암호화합니다. 데이터 손실을 방지하고 클러스터 액세스를 유지하려면 Aurora DSQL이 암호화 키에 액세스할 수 있어야 합니다. 고객 관리형 키를 비활성화하거나, 키 삭제를 예약하거나, 서비스 액세스를 제한하는 정책이 있는 경우 클러스터의 암호화 상태가 KMS_KEY_INACCESSIBLE로 변경됩니다. Aurora DSQL이 키에 액세스할 수 없는 경우 사용자는 클러스터에 연결할 수 없으며 클러스터의 암호화 상태가 KMS_KEY_INACCESSIBLE로 변경되고 서비스가 클러스터 데이터에 대한 액세스 권한을 상실합니다.

다중 리전 클러스터의 경우 고객은 각 리전의 AWS KMS 암호화 키를 별도로 구성할 수 있으며, 각 리전 클러스터는 자체 클러스터 수준 암호화 키를 사용합니다. Aurora DSQL이 다중 리전 클러스터의 피어에 대한 암호화 키에 액세스할 수 없는 경우 해당 피어의 상태가 KMS_KEY_INACCESSIBLE이 되고 읽기 및 쓰기 작업에 사용할 수 없게 됩니다. 다른 피어는 계속해서 정상적으로 작동합니다.

참고

Aurora DSQL이 고객 관리형 키에 액세스할 수 없는 경우 클러스터 암호화 상태가 KMS_KEY_INACCESSIBLE로 변경됩니다. 키 액세스를 복원하면 서비스가 15분 이내에 복원을 자동으로 감지합니다. 자세한 내용은 Cluster idling을 참조하세요.

다중 리전 클러스터의 경우 키 액세스가 장기간 상실된 경우 클러스터 복원 시간은 키에 액세스할 수 없는 동안 기록된 데이터의 양에 따라 달라집니다.

Aurora DSQL에서 AWS KMS 및 데이터 키 사용

Aurora DSQL 저장 시 암호화 기능은 AWS KMS key와 데이터 키 계층 구조를 사용하여 클러스터 데이터를 보호합니다.

Aurora DSQL에서 클러스터를 구현하기 전에 암호화 전략을 계획하는 것이 좋습니다. 민감한 데이터나 기밀 데이터를 Aurora DSQL에 저장하는 경우 계획에 클라이언트 측 암호화를 포함하는 것을 고려해 보세요. 이렇게 하면 데이터를 원본에 최대한 가깝게 암호화하고 전체 수명 주기 동안 데이터를 보호할 수 있습니다.

Aurora DSQL에서 AWS KMS key 사용

저장 시 암호화는 AWS KMS key를 사용해 Aurora DSQL 클러스터를 보호합니다. 기본적으로 Aurora DSQL은 Aurora DSQL 서비스 계정에서 생성 및 관리되는 멀티테넌트 암호화 키인 AWS 소유 키를 사용합니다. 그러나 AWS 계정의 고객 관리형 키로 Aurora DSQL 클러스터를 암호화할 수 있습니다. 다중 리전 설정에 포함되어 있더라도 각 클러스터에 대해 다른 KMS 키를 선택할 수 있습니다.

클러스터를 생성 또는 업데이트할 때 클러스터에 대해 KMS 키를 선택합니다. 언제든지 Aurora DSQL 콘솔에서 또는 UpdateCluster 작업을 사용하여 클러스터에 대한 KMS 키를 변경할 수 있습니다. 키 교체 프로세스 중에 가동 중지 시간 또는 서비스 저하가 발생하지 않습니다.

중요

Aurora DSQL은 대칭 KMS 키만 지원합니다. 비대칭 KMS 키를 사용하여 Aurora DSQL 클러스터를 암호화할 수 없습니다.

고객 관리형 키는 다음과 같은 이점을 제공합니다.

  • KMS 키에 대한 액세스를 제어하기 위한 키 정책 및 IAM 정책 설정을 포함하여 KMS 키를 생성하고 관리합니다. KMS 키를 활성화 및 비활성화하고, 자동 키 교체를 활성화 및 비활성화하고, KMS 키가 더 이상 사용되지 않을 때 KMS 키를 삭제할 수 있습니다.

  • 가져온 키 구성 요소가 있는 고객 관리형 키를 사용하거나 고객이 소유하고 관리하는 사용자 지정 키 스토어에서 고객 관리형 키를 사용할 수 있습니다.

  • AWS CloudTrail 로그에서 AWS KMS에 대한 Aurora DSQL API 직접 호출을 검사하여 Aurora DSQL 클러스터에 대한 암호화 및 복호화를 감사할 수 있습니다.

그러나 AWS 소유 키는 무료이며, 사용 시 AWS KMS 리소스 또는 요청 할당량에 포함되지 않습니다. 고객 관리형 키는 각 API 직접 호출에 대해 요금이 부과되며 이러한 키에 AWS KMS 할당량이 적용됩니다.

Aurora DSQL에서 클러스터 키 사용

Aurora DSQL은 클러스터에 AWS KMS key를 사용하여 클러스터 키라고 하는 클러스터의 고유한 데이터 키를 생성하고 암호화합니다.

클러스터 키는 키 암호화 키로 사용됩니다. Aurora DSQL은 이 클러스터 키를 사용하여 클러스터 데이터를 암호화하는 데 사용되는 데이터 암호화 키를 보호합니다. Aurora DSQL은 클러스터에 있는 각 기본 구조의 고유한 데이터 암호화 키를 생성하지만, 동일한 데이터 암호화 키로 여러 클러스터 항목을 보호할 수 없습니다.

클러스터 키를 복호화하기 위해 Aurora DSQL은 암호화된 클러스터에 처음 액세스할 때 AWS KMS에 요청을 보냅니다. 클러스터를 계속 사용할 수 있도록 하기 위해, 클러스터에 적극적으로 액세스하지 않는 경우에도 Aurora DSQL은 KMS 키에 대한 복호화 액세스를 주기적으로 확인합니다.

Aurora DSQL은 클러스터 키와 데이터 암호화 키를 AWS KMS 외부에 저장하고 사용합니다. 고급 암호화 표준(AES) 암호화 및 256비트 암호화 키로 모든 키를 보호합니다. 그런 다음 필요에 따라 클러스터 데이터를 복호화할 때 사용할 수 있도록 암호화된 데이터와 함께 암호화된 키를 저장합니다.

클러스터의 KMS 키를 변경하면 Aurora DSQL은 기존 클러스터 키를 새 KMS 키로 다시 암호화합니다.

클러스터 키 캐싱

각 Aurora DSQL 작업마다 AWS KMS를 직접 호출하지 않도록 Aurora DSQL은 메모리에 있는 각 호출자의 일반 텍스트 클러스터 키를 캐싱합니다. 15분의 비활성 시간이 경과하여 Aurora DSQL이 캐시 클러스터 키를 요청할 경우 클러스터 키를 복호화하라는 새로운 요청을 AWS KMS에 보냅니다. 이 직접 호출은 마지막 클러스터 키 복호화 요청 이후 AWS KMS 또는 AWS Identity and Access Management(IAM)에서 AWS KMS key의 액세스 정책에 적용된 모든 변경 사항을 캡처합니다.

Aurora DSQL에 AWS KMS key 사용 권한 부여

계정에서 고객 관리형 키를 사용하여 Aurora DSQL 클러스터를 보호할 경우 해당 키에 대한 정책이 Aurora DSQL에 고객 대신 키를 사용할 권한을 부여해야 합니다.

고객은 고객 관리형 키에 대한 정책을 완벽하게 제어할 수 있습니다. 기본 AWS 소유 키를 사용하여 AWS 계정의 Aurora DSQL 클러스터를 보호하려면 Aurora DSQL에 추가 권한이 필요하지 않습니다.

고객 관리형 키에 대한 키 정책

Aurora DSQL 클러스터를 보호하기 위해 고객 관리형 키를 선택하면 Aurora DSQL은 선택한 위탁자를 대신하여 AWS KMS key를 사용할 수 있는 권한이 필요합니다. 해당 위탁자, 사용자 또는 역할은 Aurora DSQL이 요구하는 AWS KMS key에 대한 권한이 있어야 합니다. 키 정책 또는 IAM 정책에서 이러한 권한을 제공할 수 있습니다.

Aurora DSQL은 고객 관리형 키에 대해 최소한 다음 권한이 있어야 합니다.

  • kms:Encrypt

  • kms:Decrypt

  • kms:ReEncrypt*(kms:ReEncryptFrom 및 kms:ReEncryptTo의 경우)

  • kms:GenerateDataKey

  • kms:DescribeKey

예를 들어 다음 예제 키 정책은 필수 권한만 제공합니다. 이 정책에는 다음과 같은 효과가 있습니다.

  • Aurora DSQL이 암호화 작업에 AWS KMS key를 사용하도록 허용합니다. 단, 계정에서 Aurora DSQL을 사용할 권한이 있는 위탁자를 대신해 작업하는 경우에 한합니다. 정책 문에 지정된 위탁자가 보안 Aurora DSQL을 사용할 권한이 없는 경우 Aurora DSQL 서비스에서 오는 경우에도 직접 호출이 실패합니다.

  • kms:ViaService 조건 키는 Aurora DSQL이 정책 문에 나열된 위탁자를 대신하여 요청을 보낸 경우에만 권한을 허용합니다. 이러한 보안 주체는 이러한 작업을 직접 호출 할 수 없습니다.

  • AWS KMS key 관리자(db-team 역할을 수임할 수 있는 사용자)에게 AWS KMS key에 대한 읽기 전용 액세스 권한을 부여합니다.

예제 키 정책을 사용하기 전에 예제 보안 주체를 AWS 계정의 실제 보안 주체로 바꿉니다.

{
  "Sid": "Enable dsql IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey",
    "kms:Encrypt",
    "kms:ReEncryptFrom",
    "kms:ReEncryptTo"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:dsql:ClusterId": "w4abucpbwuxx",
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
},
{
  "Sid": "Enable dsql IAM User Describe Permissions",
  "Effect": "Allow",
  "Principal": {
    "Service": "dsql.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
    }
  }
}

Aurora DSQL 암호화 컨텍스트

암호화 컨텍스트는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.

Aurora DSQL은 모든 AWS KMS 암호화 작업에서 동일한 암호화 컨텍스트를 사용합니다. 고객 관리형 키를 사용하여 Aurora DSQL 클러스터를 보호하는 경우, 암호화 컨텍스트를 사용하여 감사 레코드 및 로그에서 AWS KMS key 사용을 식별할 수 있습니다. 또한 AWS CloudTrail과 같은 로그에서 일반 텍스트로 나타나기도 합니다.

암호화 컨텍스트를 정책에서 권한 부여의 조건으로 사용할 수도 있습니다.

AWS KMS에 요청할 때 Aurora DSQL은 키-값 쌍이 있는 암호화 컨텍스트를 사용합니다.


"encryptionContext": {
  "aws:dsql:ClusterId": "w4abucpbwuxx"
},

키-값 쌍은 Aurora DSQL이 암호화 중인 클러스터를 식별합니다. 키는 aws:dsql:ClusterId입니다. 값은 클러스터의 식별자입니다.

AWS KMS와 Aurora DSQL 상호 작용 모니터링

고객 관리형 키를 사용하여 Aurora DSQL 클러스터를 보호할 경우, AWS CloudTrail 로그를 사용하여 Aurora DSQL이 고객 대신 AWS KMS로 전송하는 요청을 추적할 수 있습니다.

다음 섹션을 확장하여 Aurora DSQL이 AWS KMS 작업 GenerateDataKeyDecrypt를 어떻게 사용하는지 알아보세요.

클러스터에서 저장 시 암호화를 활성화하면 Aurora DSQL이 고유한 클러스터 키를 생성합니다. 이는 클러스터에 AWS KMS key를 지정하는 GenerateDataKey 요청을 AWS KMS에 보냅니다.

GenerateDataKey 작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 사용자는 Aurora DSQL 서비스 계정입니다. 파라미터에는 AWS KMS key의 Amazon 리소스 이름(ARN), 256비트 키가 필요한 키 지정자, 클러스터를 식별하는 암호화 컨텍스트가 포함됩니다.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "dsql.amazonaws.com"
    },
    "eventTime": "2025-05-16T18:41:24Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "dsql.amazonaws.com",
    "userAgent": "dsql.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:dsql:ClusterId": "w4abucpbwuxx"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
    },
    "responseElements": null,
    "requestID": "2da2dc32-d3f4-4d6c-8a41-aff27cd9a733",
    "eventID": "426df0a6-ba56-3244-9337-438411f826f4",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "f88e0dd8-6057-4ce0-b77d-800448426d4e",
    "vpcEndpointId": "AWS Internal",
    "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
    "eventCategory": "Management"
}

암호화된 Aurora DSQL 클러스터에 액세스하면 Aurora DSQL은 클러스터 키를 복호화해야만 계층 구조에서 그 아래에 있는 키를 복호화할 수 있습니다. 그런 다음, 클러스터에 있는 데이터를 복호화합니다. 클러스터 키를 복호화하기 위해 Aurora DSQL은 클러스터에 AWS KMS key를 지정하는 Decrypt 요청을 AWS KMS에 보냅니다.

Decrypt 작업을 기록하는 이벤트는 다음 예시 이벤트와 유사합니다. 사용자는 AWS 계정에서 클러스터에 액세스 중인 위탁자입니다. 파라미터에는 암호화된 클러트서 키(사이퍼텍스트 blob), 그리고 클러스터를 식별하는 암호화 컨텍스트가 포함됩니다. AWS KMS는 사이퍼텍스트에서 AWS KMS key의 ID를 파생합니다.

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AWSService",
    "invokedBy": "dsql.amazonaws.com"
  },
  "eventTime": "2018-02-14T16:42:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "dsql.amazonaws.com",
  "userAgent": "dsql.amazonaws.com",
  "requestParameters": {
    "keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "encryptionContext": {
      "aws:dsql:ClusterId": "w4abucpbwuxx"
    },
    "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
  },
  "responseElements": null,
  "requestID": "11cab293-11a6-11e8-8386-13160d3e5db5",
  "eventID": "b7d16574-e887-4b5b-a064-bf92f8ec9ad3",
  "readOnly": true,
  "resources": [
    {
      "ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "accountId": "AWS Internal",
      "type": "AWS::KMS::Key"
    }
  ],
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "sharedEventID": "d99f2dc5-b576-45b6-aa1d-3a3822edbeeb",
  "vpcEndpointId": "AWS Internal",
  "vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
  "eventCategory": "Management"
}

암호화된 Aurora DSQL 클러스터 생성

모든 Aurora DSQL 클러스터는 저장 시 암호화됩니다. 기본적으로 클러스터에서 무료로 AWS 소유 키를 사용하거나 고객이 사용자 지정 AWS KMS 키를 지정할 수 있습니다. 다음 단계에 따라 AWS Management Console 또는 AWS CLI에서 암호화된 클러스터를 생성합니다.

Console
AWS Management Console에서 암호화된 클러스터를 생성하는 방법

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/dsql/에서 Aurora DSQL 콘솔을 엽니다.

  2. 콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.

  3. 오른쪽 상단에서 클러스터 생성을 선택하고 단일 리전을 선택합니다.

  4. 클러스터 암호화 설정에서 다음 옵션 중 하나를 선택합니다.

    • 기본 설정을 수락하여 추가 비용 없이 AWS 소유 키로 암호화합니다.

    • 암호화 설정 사용자 지정(고급)을 선택하여 사용자 지정 KMS 키를 지정합니다. 그런 다음, KMS 키의 ID 또는 별칭을 검색하거나 입력합니다. AWS KMS 콘솔에서 새로운 키를 생성하려면 AWS KMS 키 생성을 선택합니다.

  5. 클러스터 생성을 선택합니다.

클러스터의 암호화 유형을 확인하려면 클러스터 페이지로 이동하여 클러스터의 ID를 선택하여 클러스터 세부 정보를 확인합니다. 클러스터 설정 탭을 검토합니다. 클러스터 KMS 키 설정에는 AWS 소유 키를 사용하는 클러스터의 Aurora DSQL 기본 키 또는 다른 암호화 유형의 키 ID가 표시됩니다.

참고

자체 키 소유 및 관리를 선택하는 경우 KMS 키 정책을 적절하게 설정합니다. 예제와 추가 정보는 고객 관리형 키에 대한 키 정책 섹션을 참조하세요.

CLI
기본 AWS 소유 키로 암호화된 클러스터를 생성하는 방법

  • 다음 명령을 사용하여 Aurora DSQL 클러스터를 생성합니다.

    aws dsql create-cluster

다음 암호화 세부 정보에 표시된 것처럼 클러스터의 암호화 상태는 기본적으로 활성화되어 있으며 기본 암호화 유형은 AWS 소유 키입니다. 이제 클러스터가 Aurora DSQL 서비스 계정의 기본 AWS 소유 키로 암호화됩니다.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}
고객 관리형 키로 암호화된 클러스터를 생성하는 방법

  • 다음 명령을 사용하여 Aurora DSQL 클러스터를 생성하되, 빨간색 텍스트의 키 ID를 고객 관리형 키의 ID로 바꿉니다.

    aws dsql create-cluster \
--kms-encryption-key d41d8cd98f00b204e9800998ecf8427e

다음 암호화 세부 정보에서 볼 수 있듯이 클러스터의 암호화 상태는 기본적으로 활성화되어 있으며 암호화 유형은 고객 관리형 KMS 키입니다. 이제 클러스터가 고객의 키로 암호화됩니다.

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:kms:us-east-1:111122223333:key/d41d8cd98f00b204e9800998ecf8427e",
  "encryptionStatus" : "ENABLED"
}

Aurora DSQL 클러스터의 키 제거 또는 업데이트

AWS Management Console 또는 AWS CLI를 사용하여 Amazon Aurora DSQL의 기존 클러스터에서 암호화 키를 업데이트하거나 제거할 수 있습니다. 키를 교체하지 않고 제거하면 Aurora DSQL은 기본 AWS 소유 키를 사용합니다. 다음 단계에 따라 Aurora DSQL 콘솔 또는 AWS CLI에서 기존 클러스터의 암호화 키를 업데이트합니다.

Console
AWS Management Console에서 암호화 키를 업데이트하거나 제거하는 방법

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/dsql/에서 Aurora DSQL 콘솔을 엽니다.

  2. 콘솔 왼쪽의 탐색 창에서 클러스터를 선택합니다.

  3. 목록 뷰에서 업데이트하려는 클러스터의 행을 찾아 선택합니다.

  4. 작업 메뉴를 선택하고 수정을 선택합니다.

  5. 클러스터 암호화 설정에서 다음 옵션 중 하나를 선택하여 암호화 설정을 수정합니다.

    • 사용자 지정 키에서 AWS 소유 키로 전환하려면 암호화 설정 사용자 지정(고급) 옵션을 선택 취소합니다. 기본 설정이 적용되고 AWS 소유 키를 사용하여 무료로 클러스터를 암호화합니다.

    • 사용자 지정 KMS 키에서 다른 키로 교체하거나 AWS 소유 키에서 KMS 키로 전환하려면 암호화 설정 사용자 지정(고급) 옵션을 아직 선택하지 않은 경우 선택합니다. 그런 다음, 사용하려는 키의 ID 또는 별칭을 검색하고 선택합니다. AWS KMS 콘솔에서 새로운 키를 생성하려면 AWS KMS 키 생성을 선택합니다.

  6. 저장을 선택합니다.

CLI

다음 예에서는 AWS CLI를 사용해 암호화된 클러스터를 업데이트하는 방법을 보여줍니다.

기본 AWS 소유 키를 사용하여 암호화된 클러스터를 업데이트하는 방법


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key "AWS_OWNED_KMS_KEY"

클러스터 설명의 EncryptionStatusENABLED로 설정되고 EncryptionTypeAWS_OWNED_KMS_KEY입니다.

"encryptionDetails": {
  "encryptionType" : "AWS_OWNED_KMS_KEY",
  "encryptionStatus" : "ENABLED"
}

이 클러스터는 이제 Aurora DSQL 서비스 계정에서 기본 AWS 소유 키를 사용하여 암호화됩니다.

Aurora DSQL에서 고객 관리형 키로 암호화된 클러스터를 업데이트하는 방법

암호화된 클러스터를 다음 예와 같이 업데이트합니다.


aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234

클러스터 설명의 EncryptionStatusUPDATING으로 전환되고 EncryptionTypeCUSTOMER_MANAGED_KMS_KEY입니다. Aurora DSQL이 플랫폼을 전체에 새 키 전파를 완료하면 암호화 상태가 ENABLED로 전환됩니다.

"encryptionDetails": {
  "encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
  "kmsKeyArn" : "arn:aws:us-east-1:kms:key/abcd1234-abcd-1234-a123-ab1234a1b234",
  "encryptionStatus" : "ENABLED"
}
참고

자체 키 소유 및 관리를 선택하는 경우 KMS 키 정책을 적절하게 설정합니다. 예제와 추가 정보는 고객 관리형 키에 대한 키 정책 섹션을 참조하세요.

Aurora DSQL에서 암호화 고려 사항

  • Aurora DSQL은 모든 클러스터 저장 데이터를 암호화합니다. 이 암호화를 비활성화하거나 클러스터의 일부 항목만 암호화할 수 없습니다.

  • AWS Backup은 백업과 이러한 백업에서 복원된 모든 클러스터를 암호화합니다. AWS 소유 키 또는 고객 관리형 키를 사용하여 AWS Backup에서 백업 데이터를 암호화할 수 있습니다.

  • Aurora DSQL에서 다음 데이터 보호 상태가 활성화됩니다.

    • 저장 데이터 - Aurora DSQL은 영구 스토리지 미디어의 모든 정적 데이터를 암호화합니다.

    • 전송 중 데이터 - Aurora DSQL은 기본적으로 Transport Layer Security(TLS)를 사용하여 모든 통신을 암호화합니다.

  • 다른 키로 전환할 때는 전환이 완료될 때까지 원본 키를 활성화된 상태로 유지하는 것이 좋습니다. AWS는 새 키로 데이터를 암호화하기 전에 데이터를 복호화하기 위해 원본 키가 필요합니다. 클러스터의 encryptionStatusENABLED이고 새 고객 관리형 키의 kmsKeyArn이 표시되면 프로세스가 완료된 것입니다.

  • 고객 관리형 키를 비활성화하거나 Aurora DSQL의 키 사용 액세스 권한을 취소하면 클러스터가 IDLE 상태로 전환됩니다.

  • AWS Management Console과 Amazon Aurora DSQL API는 암호화 유형에 대해 서로 다른 용어를 사용합니다.

    • AWS Console - 고객 관리형 키를 사용할 때는 콘솔에 KMS가 표시되고, AWS 소유 키를 사용할 때는 DEFAULT가 표시됩니다.

    • API - Amazon Aurora DSQL API는 고객 관리형 키에 CUSTOMER_MANAGED_KMS_KEY를 사용하고, AWS 소유 키에 AWS_OWNED_KMS_KEY를 사용합니다.

  • 클러스터 생성 중에 암호화 키를 지정하지 않으면 Aurora DSQL은 AWS 소유 키를 사용하여 데이터를 자동으로 암호화합니다.

  • 언제든지 AWS 소유 키와 고객 관리형 키 간에 전환할 수 있습니다. AWS Management Console, AWS CLI 또는 Amazon Aurora DSQL API를 사용하여 이 변경을 수행합니다.