AWS Backup의 백업 암호화 - AWS Backup
독립 암호화암호화 복사권한, 권한 부여 및 거부 문

AWS Backup의 백업 암호화

독립 암호화

AWS Backup는 전체 AWS Backup 관리를 지원하는 리소스 유형에 대해 독립적인 암호화를 제공합니다. 독립 암호화는 AWS Backup를 통해 생성하는 복구 시점(백업)이 소스 리소스의 암호화에 따라 결정되는 것 이외의 암호화 방법을 가질 수 있음을 의미합니다. 예를 들어 Amazon S3 버킷의 백업은 Amazon S3 암호화로 암호화한 소스 버킷과 다른 암호화 방법을 가질 수 있습니다. 이 암호화는 백업이 저장된 백업 저장소의 AWS KMS 키 구성을 통해 제어됩니다.

AWS Backup에서 완전히 관리되지 않는 리소스 유형의 백업은 일반적으로 소스 리소스에서 암호화 설정을 상속합니다. Amazon EBS 사용 설명서Amazon EBS 암호화와 같은 해당 서비스의 지침에 따라 이러한 암호화 설정을 구성할 수 있습니다.

IAM 역할은 객체를 백업 및 복원하는 데 사용되는 KMS 키에 액세스할 수 있어야 합니다. 그렇게 하지 않으면 작업은 성공하지만 객체는 백업되거나 복원되지 않습니다. IAM 정책 및 KMS 키 정책의 권한은 일관되어야 합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서IAM 정책 설명에서 KMS 키 지정을 참조하세요.

다음 표에는 지원되는 각 리소스 유형, 백업에 대해 암호화가 구성되는 방법 및 백업에 대해 독립 암호화가 지원되는지 여부가 나와 있습니다. AWS Backup은 독립적으로 백업을 암호화하는 경우 업계 표준 AES-256 암호화 알고리즘을 사용합니다. AWS Backup의 암호화에 대한 자세한 내용은 교차 리전교차 계정 백업을 참조하세요.

리소스 유형 암호화 구성 방법 독립 AWS Backup 암호화
Amazon Simple Storage Service(S3) Amazon S3 백업은 벡업 저장소와 연결된 AWS KMS(AWS Key Management Service) 키를 사용하여 암호화됩니다. AWS KMS 키는 고객 관리형 키 또는 AWS Backup 서비스와 관련된 AWS 관리형 키일 수 있습니다. AWS Backup는 소스 Amazon S3 버킷이 암호화되지 않은 경우에도 모든 백업을 암호화합니다. 지원
VMware 가상 머신 VM 백업은 항상 암호화됩니다. 가상 머신 백업에 대한 AWS KMS 암호화 키는 가상 머신 백업이 저장되는 AWS Backup 저장소에서 구성됩니다. 지원
고급 DynamoDB 백업을 활성화한 후의 Amazon DynamoDB

DynamoDB 백업은 항상 암호화됩니다. DynamoDB 백업에 대한 AWS KMS 암호화 키는 DynamoDB 백업이 저장되는 AWS Backup 저장소에 구성됩니다.

 지원
고급 DynamoDB 백업을 활성화하지 않은 Amazon DynamoDB

DynamoDB 백업은 소스 DynamoDB 테이블을 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 DynamoDB 테이블은 스냅샷도 암호화되지 않습니다.

AWS Backup이 암호화된 DynamoDB 테이블의 백업을 생성하려면 백업에 사용되는 IAM 역할에 kms:Decryptkms:GenerateDataKey 권한을 추가해야 합니다. 또는 AWS Backup 기본 서비스 역할을 사용할 수 있습니다.

 지원되지 않음
Amazon Elastic File System(Amazon EFS) Amazon EFS 백업은 항상 암호화됩니다. Amazon EFS 백업에 대한 AWS KMS 암호화 키는 Amazon EFS 백업이 저장되는 AWS Backup 저장소에 구성됩니다. 지원
Amazon Elastic Block Store(Amazon EBS) 기본적으로 Amazon EBS 백업은 소스 볼륨을 암호화하는 데 사용된 키를 사용하여 암호화되거나 암호화되지 않습니다. 복원 중에 KMS 키를 지정하여 기본 암호화 방법을 재정의하도록 선택할 수 있습니다. 지원되지 않음
Amazon Elastic Compute Cloud(Amazon EC2) AMI AMI는 암호화되지 않습니다. EBS 스냅샷은 EBS 백업에 대한 기본 암호화 규칙에 의해 암호화됩니다(EBS 항목 참조). 데이터 볼륨과 루트 볼륨의 EBS 스냅샷을 암호화하고 AMI에 연결할 수 있습니다. 지원되지 않음
Amazon Relational Database Service(Amazon RDS) Amazon RDS 스냅샷은 소스 Amazon RDS 데이터베이스를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon RDS 데이터베이스는 스냅샷도 암호화되지 않습니다. 지원되지 않음
Amazon Aurora Aurora 클러스터 스냅샷은 소스 Amazon Aurora 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Aurora 클러스터는 스냅샷도 암호화되지 않습니다. 지원되지 않음
AWS Storage Gateway Storage Gateway 스냅샷은 소스 Storage Gateway 볼륨을 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Storage Gateway 볼륨은 스냅샷도 암호화되지 않습니다.

Storage Gateway를 활성화하기 위해 모든 서비스에서 고객 관리형 키를 사용할 필요는 없습니다. KMS 키를 구성한 저장소에 Storage Gateway 백업을 복사하기만 하면 됩니다. 이는 Storage Gateway에 서비스별 AWS KMS 관리형 키가 없기 때문입니다.

 지원되지 않음
Amazon FSx Amazon FSx 파일 시스템의 암호화 기능은 기본 파일 시스템에 따라 다릅니다. 특정 Amazon FSx 파일 시스템에 대해 자세히 알아보려면 해당 FSx 사용 설명서를 참조하세요. 지원되지 않음
Amazon DocumentDB Amazon DocumentDB 클러스터 스냅샷은 소스 Amazon DocumentDB 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon DocumentDB 클러스터는 스냅샷도 암호화되지 않습니다. 지원되지 않음
Amazon Neptune Neptune 클러스터 스냅샷은 소스 Neptune 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Neptune 클러스터는 스냅샷도 암호화되지 않습니다. 지원되지 않음
Amazon Timestream Timestream 테이블 스냅샷 백업은 항상 암호화됩니다. Timestream 백업에 대한 AWS KMS 암호화 키는 Timestream 백업이 저장되는 백업 저장소에 구성됩니다. 지원
Amazon Redshift Amazon Redshift 클러스터는 소스 Amazon Redshift 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon Redshift 클러스터는 스냅샷도 암호화되지 않습니다. 지원되지 않음
Amazon Redshift Serverless Redshift Serverless 스냅샷은 소스를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 지원되지 않음
CloudFormation CloudFormation 백업은 항상 암호화됩니다. CloudFormation 백업에 대한 CloudFormation 암호화 키는 CloudFormation 백업이 저장되는 CloudFormation 저장소에 구성됩니다. 지원
Amazon EC2 인스턴스의 SAP HANA 데이터베이스 SAP HANA 데이터베이스 백업은 항상 암호화됩니다. SAP HANA 데이터베이스 백업에 대한 AWS KMS 암호화 키는 데이터베이스 백업이 저장되는 AWS Backup 저장소에 구성됩니다. 지원
작은 정보

AWS Backup Audit Manager를 사용하면 암호화되지 않은 백업을 자동으로 탐지할 수 있습니다.

다른 계정 또는 AWS 리전에 백업 복사본 암호화

계정 간 또는 리전 간에 백업을 복사할 때 AWS Backup는 원본 백업이 암호화되지 않은 경우에도 대부분의 리소스 유형에 대해 해당 복사본을 자동으로 암호화합니다. AWS Backup는 대상 저장소의 KMS 키를 사용하여 복사본을 암호화합니다.

한 계정에서 다른 계정으로 백업을 복사(계정 간 복사 작업)하거나 한 리전에서 다른 리전으로 백업을 복사(리전 간 복사 작업)하기 전에 백업의 리소스 유형(복구 시점)이 AWS Backup에서 완전히 관리되는지 여부에 따라 달라지는 다음 조건을 참고하세요.

  • 다른 AWS 리전에 대한 백업 사본은 대상 자장소의 키를 사용하여 암호화됩니다.

  • AWS Backup에서 완전히 관리되는 리소스의 복구 시점(백업) 사본의 경우 고객 관리형 키(CMK) 또는 AWS Backup 관리형 키(aws/backup)로 암호화하도록 선택할 수 있습니다.

    AWS Backup에서 완전히 관리되지 않는 리소스의 복구 시점 사본의 경우 대상 볼트에 연결된 키는 CMK 또는 기본 리소스를 소유한 서비스의 관리형 키여야 합니다. 예를 들어 EC2 인스턴스를 복사하는 경우 백업 관리형 키를 사용할 수 없습니다. 대신 복사 작업 실패를 방지하려면 CMK 또는 Amazon EBS KMS 키(aws/ebs)를 사용해야 합니다.

  • AWS Backup에서 완전히 관리되지 않는 리소스에 대해서는, AWS 관리형 키를 통한 교차 계정 복사가 지원되지 않습니다. AWS 관리형 키의 키 정책은 변경할 수 없으므로 계정 간에 키를 복사할 수 없습니다. 리소스가 AWS 관리형 키로 암호화되어 있고 계정 간 복사를 수행하려는 경우 고객 관리형 키로 암호화 키를 변경하여 계정 간 복사에 사용할 수 있습니다. 또는 교차 계정 및 교차 리전 백업으로 암호화된 Amazon RDS 인스턴스 보호의 지침에 따라 AWS 관리형 키를 계속 사용할 수 있습니다.

  • 암호화되지 않은 Amazon Aurora, Amazon DocumentDB, Amazon Neptune 클러스터의 복사본도 암호화되지 않습니다.

AWS Backup 권한, 권한 부여 및 거부 문

실패한 작업을 방지하기 위해 AWS KMS 키 정책을 검사하여 필요한 권한이 있고 성공적인 작업을 방해하는 거부 문이 없는지 확인할 수 있습니다.

실패한 작업은 KMS 키에 하나 이상의 거부 문이 적용되었거나 키에 대한 권한 부여가 취소되었기 때문에 발생할 수 있습니다.

AWSBackupFullAccess와 같은 AWS 관리형 액세스 정책에는 AWS Backup가 AWS KMS와 상호 작용하여 백업, 복사 및 저장 작업의 일환으로 고객을 대신하여 KMS 키에 대한 권한을 부여할 수 있도록 허용하는 작업이 있습니다.

최소한 키 정책에는 다음과 같은 권한이 필요합니다.

  • kms:createGrant

  • kms:generateDataKey

  • kms:decrypt

거부 정책이 필요한 경우 백업 및 복원 작업에 필요한 역할을 허용 목록에 추가해야 합니다.

이러한 요소는 다음과 같을 수 있습니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}

이러한 권한은 AWS 관리형이든 고객 관리형이든 키의 일부여야 합니다.

  1. 필요한 권한이 KMS 키 정책의 일부인지 확인

    1. KMS CLI get-key-policy(kms:GetKeyPolicy)를 실행하여 지정된 KMS 키에 연결된 키 정책을 봅니다.

    2. 반환된 권한을 검토합니다.

  2. 작업에 영향을 미치는 거부 문이 없는지 확인합니다.

    1. CLI get-key-policy(kms:GetKeyPolicy)를 실행(또는 다시 실행)하여 지정된 KMS 키에 연결된 키 정책을 봅니다.

    2. 정책을 검토합니다.

    3. KMS 키 정책에서 관련 거부 문을 제거합니다.

  3. 필요한 경우 kms:put-key-policy를 실행하여 키 정책을 수정된 권한으로 바꾸거나 업데이트하고 거부 문을 제거합니다.

또한 리전 간 복사 작업을 시작하는 역할과 연결된 키는 DescribeKey 권한에 "kms:ResourcesAliases": "alias/aws/backup"가 있어야 합니다.