기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
스토리지 위치 보안 인증 정보 보호
DataSync는 위치를 사용하여 온프레미스, 다른 클라우드 또는에 있는 스토리지 리소스에 액세스합니다 AWS. 일부 위치 유형에서는 스토리지 시스템으로 인증하기 위해 액세스 키 및 보안 키 또는 사용자 이름 및 암호와 같은 자격 증명을 제공해야 합니다. 인증에 자격 증명이 필요한 DataSync 위치를 생성할 때 다음 옵션 중 하나를 선택하여 자격 증명의 보안 암호가 저장되는 방식을 제어할 수 있습니다.
-
기본 키로 암호화된 서비스 관리형 보안 암호를 AWS Secrets Manager 사용하여에 보안 암호를 저장합니다.
-
관리하는 AWS KMS 키로 암호화된 서비스 관리형 보안 암호를 AWS Secrets Manager 사용하여에 보안 암호를 저장합니다.
-
생성 및 관리하는 보안 암호와 키를 AWS Secrets Manager 사용하여에 보안 암호를 저장합니다. DataSync는 사용자가 제공한 IAM 역할을 사용하여이 보안 암호에 액세스합니다.
모든 경우에 Secrets Manager 보안 암호는 계정에 저장되므로 DataSync 서비스와 관계없이 필요에 따라 보안 암호를 업데이트할 수 있습니다. DataSync 외부에서 생성한 보안 암호 사용에 대해서만 요금이 부과됩니다. DataSync에서 생성하고 관리하는 보안 암호에는 접두사가 있습니다aws-datasync.
기본 키로 암호화된 서비스 관리형 보안 암호 사용
DataSync 위치를 생성할 때 보안 암호 문자열만 제공하면 됩니다. DataSync는에 보안 암호 리소스를 생성 AWS Secrets Manager 하여 사용자가 제공한 보안 암호를 저장하고 계정의 기본 Secrets Manager KMS 키로 보안 암호를 암호화합니다. Secrets Manager에서 직접 또는 DataSync 콘솔 또는 AWS CLI SDK를 사용하여 위치를 업데이트하여 보안 암호 값을 변경할 수 있습니다. 위치 리소스를 삭제하거나 사용자 지정 보안 암호를 사용하도록 업데이트하면 DataSync는 보안 암호 리소스를 자동으로 삭제합니다.
참고
Secrets Manager에서 보안 암호 리소스를 생성, 수정 및 삭제하려면 DataSync에 적절한 권한이 있어야 합니다. 자세한 내용은 AWS DataSync에 대한 관리형 정책을 참조하세요.
사용자 지정 AWS KMS 키로 암호화된 서비스 관리형 보안 암호 사용
DataSync 위치를 생성할 때 키의 보안 암호와 ARN을 AWS KMS 제공합니다. DataSync는에 보안 암호 리소스를 자동으로 생성 AWS Secrets Manager 하여 사용자가 제공한 보안 암호를 저장하고 AWS KMS 키를 사용하여 암호화합니다. Secrets Manager에서 직접 또는 DataSync 콘솔 또는 AWS CLI SDK를 사용하여 위치를 업데이트하여 보안 암호 값을 변경할 수 있습니다. 위치 리소스를 삭제하거나 사용자 지정 보안 암호를 사용하도록 업데이트하면 DataSync는 보안 암호 리소스를 자동으로 삭제합니다.
참고
AWS KMS 키는 ENCRYPT_DECRYPT 키 유형과 함께 대칭 암호화를 사용해야 합니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 키 선택을 AWS Key Management Service 참조하세요.
Secrets Manager에서 보안 암호 리소스를 생성, 수정 및 삭제하려면 DataSync에 적절한 권한이 있어야 합니다. 자세한 내용은 AWS 관리형 정책AWSDataSyncFullAccess 단원을 참조하십시오.
올바른 DataSync 관리형 정책을 사용하는 것 외에도 다음 권한도 필요합니다.
{ "Sid": "DataSyncKmsPermissions", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "your-kms-key-arn", "Condition": { "StringLike": { "kms:ViaService": "secretsmanager.*.amazonaws.com" } } }
your-kms-key-arn을 KMS 키 ARN으로 바꿉니다.
보안 암호 값을 검색하고 해독하기 위해 DataSync는 서비스 연결 역할(SLR)을 사용하여 AWS KMS 키에 액세스합니다. DataSync가 KMS 키를 사용할 수 있도록 하려면 키의 정책 설명에 다음을 추가합니다.
{ "Sid": "Allow DataSync to use the key for decryption", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::accountid:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync" }, "Action": "kms:Decrypt", "Resource": "*" }
accountid를 AWS 계정 ID로 바꿉니다.
관리하는 보안 암호 사용
DataSync 위치를 생성하기 전에 에서 보안 암호를 생성합니다 AWS Secrets Manager. 보안 암호 값은 보안 암호 문자열 자체만 일반 텍스트로 포함해야 합니다. DataSync 위치를 생성할 때 보안 암호의 ARN과 DataSync가 보안 암호와 보안 암호를 암호화하는 데 사용되는 AWS KMS 키 모두에 액세스하는 데 사용하는 IAM 역할을 제공합니다. 적절한 권한이 있는 IAM 역할을 생성하려면 다음을 수행합니다.
-
https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
왼쪽 탐색 창의 액세스 관리에서 역할을 선택한 다음, 역할 생성을 선택합니다.
-
신뢰할 수 있는 엔터티 선택 페이지의 신뢰할 수 있는 엔터티 유형에서 AWS 서비스를 선택합니다.
-
사용 사례의 드롭다운 목록에서 DataSync를 선택합니다. 다음을 선택합니다.
-
권한 추가 페이지에서 다음을 선택합니다. 역할 이름을 입력한 다음 역할 생성을 선택합니다.
-
역할 페이지에서 방금 생성한 역할의 이름을 검색해 선택합니다.
-
역할에 대한 세부 정보 페이지에서 권한 탭을 선택합니다. 권한 추가를 선택한 다음 인라인 정책 생성을 선택합니다.
-
JSON 탭을 선택하고 정책 편집기에 다음 권한을 추가합니다.
your-secret-arn을 Secrets Manager 보안 암호의 ARN으로 바꿉니다. -
다음을 선택합니다. 정책의 이름을 입력한 다음 정책 생성을 선택합니다.
-
(권장) 교차 서비스 혼동된 대리자 문제를 방지하려면 다음을 수행합니다.
-
역할에 대한 세부 정보 페이지에서 신뢰 관계 탭을 선택합니다. 신뢰 정책 편집을 선택합니다.
-
aws:SourceArn및aws:SourceAccount전역 조건 컨텍스트 키가 포함된 다음 예를 사용하여 신뢰 정책을 업데이트하세요. -
정책 업데이트를 선택합니다.
-
위치를 생성할 때이 역할을 지정할 수 있습니다. 보안 암호가 암호화에 고객 관리형 AWS KMS 키를 사용하는 경우 이전 절차에서 생성한 역할에서 액세스를 허용하도록 키의 정책도 업데이트해야 합니다. 정책을 업데이트하려면 AWS KMS 키의 정책 설명에 다음을 추가합니다.
{ "Sid": "Allow DataSync use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iamaccountid:role/your-role-name” }, "Action": "kms:Decrypt", "Resource": "*" }
accountid를 AWS 계정 ID로 바꾸고 your-role-name을 이전 절차에서 생성한 IAM 역할의 이름으로 바꿉니다.
참고
Secrets Manager에 암호를 저장하면 AWS 계정 에 요금이 발생합니다. 요금에 대한 자세한 내용은 AWS Secrets Manager
요금
