기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon EBS 암호화
<a name="ebs-encryption"></a>

Amazon EC2 인스턴스와 연결된 Amazon EBS 리소스의 간단한 암호화 솔루션으로 Amazon EBS 암호화를 사용합니다. Amazon EBS 암호화를 사용하면 자체 키 관리 인프라를 구축, 유지 관리 및 보호할 필요가 없습니다. Amazon EBS 암호화는 암호화된 볼륨 및 스냅샷을 생성할 때 AWS KMS keys 를 사용합니다.

암호화 작업은 EC2 인스턴스를 호스팅하는 서버에서 진행되며, 인스턴스와 인스턴스에 연결된 EBS 스토리지 간 유휴 데이터 및 전송 중 데이터의 보안을 모두 보장합니다.

인스턴스에는 암호화된 볼륨과 암호화되지 않은 볼륨을 동시에 연결할 수 있습니다. 모든 Amazon EC2 인스턴스 유형은 Amazon EBS 암호화를 지원합니다.

**Topics**
+ [Amazon EBS의 암호화 방식](how-ebs-encryption-works.md)
+ [Amazon EBS 암호화의 요구 사항](ebs-encryption-requirements.md)
+ [기본적으로 Amazon EBS 암호화 활성화](encryption-by-default.md)
+ [EBS 리소스 암호화](#encryption-parameters)
+ [Amazon EBS 암호화에 사용되는 AWS KMS 키 교체](kms-key-rotation.md)
+ [Amazon EBS 암호화 예시](encryption-examples.md)

## EBS 리소스 암호화
<a name="encryption-parameters"></a>

[암호화를 기본으로](encryption-by-default.md) 사용하여 암호화를 활성화하거나 암호화하려는 볼륨을 생성할 때 암호화를 활성화하여 EBS 볼륨을 암호화합니다.

볼륨 암호화 시 볼륨을 암호화하는 데 사용할 대칭 암호화 KMS 키를 지정할 수 있습니다. KMS 키를 지정하지 않은 경우 암호화에 사용되는 KMS 키는 소스 스냅샷 및 해당 소유권의 암호화 상태에 따라 달라집니다. 자세한 내용은 [암호화 결과표](encryption-examples.md#ebs-volume-encryption-outcomes)를 참조하십시오.

**참고**  
API 또는를 사용하여 KMS 키를 AWS CLI 지정하는 경우가 KMS 키를 비동기적으로 AWS 인증한다는 점에 유의하세요. 유효하지 않은 KMS 키 ID, 별칭 또는 ARN을 지정하면 작업이 완료된 것처럼 보이지만 결국 실패합니다.

기존 스냅샷이나 볼륨과 연동되어 있는 KMS 키는 변경할 수 없습니다. 하지만 스냅샷 복사 작업 중에 다른 KMS 키와(과) 연동시킬 수는 있습니다. 복사된 스냅샷은 새로운 KMS 키(으)로 암호화됩니다.

### 빈 볼륨 생성 시 암호화
<a name="new-encrypted-volumes"></a>

비어 있는 새 EBS 볼륨을 생성하는 경우 특정 볼륨 생성 작업에 대한 암호화를 활성화하여 암호화할 수 있습니다. EBS 암호화를 기본으로 활성화한 경우 볼륨은 EBS 암호화에 대한 기본 KMS 키를 사용하여 자동으로 암호화됩니다. 또는 특정 볼륨 생성 작업에 대해 다른 대칭 암호화 KMS 키를 지정할 수 있습니다. 볼륨은 최초로 사용 가능한 시점까지 암호화되므로 데이터가 항상 안전한 상태를 유지합니다. 자세한 절차는 [Amazon EBS 볼륨 생성](ebs-creating-volume.md) 섹션을 참조하세요.

기본적으로 볼륨을 생성할 때 선택한 KMS 키이(가) 볼륨에서 생성한 스냅샷과 암호화된 스냅샷에서 복원한 볼륨을 암호화합니다. 암호화된 볼륨 또는 스냅샷으로부터 암호화를 제거할 수 없습니다. 즉, 암호화된 스냅샷 또는 암호화된 스냅샷의 사본에서 복원된 볼륨은 항상 암호화됩니다.

암호화된 볼륨의 퍼블릭 스냅샷은 지원하지 않지만 암호화된 스냅샷을 특정 계정과 공유할 수는 있습니다. 자세한 지침은 [Amazon EBS 스냅샷을 다른 AWS 계정과 공유](ebs-modifying-snapshot-permissions.md) 섹션을 참조하세요.

### 암호화되지 않은 리소스 암호화
<a name="encrypt-unencrypted"></a>

암호화되지 않은 기존의 볼륨이나 스냅샷은 직접 암호화할 수 없습니다.

암호화되지 않은 볼륨을 암호화하려면 해당 볼륨의 스냅샷을 생성한 다음 스냅샷을 사용하여 새 암호화된 볼륨을 생성합니다. 자세한 내용은 [스냅샷 생성](ebs-create-snapshot.md) 및 [볼륨 생성](ebs-creating-volume.md) 섹션을 참조하세요.

암호화되지 않은 스냅샷을 암호화하려면 해당 스냅샷의 암호화된 복사본을 생성합니다. 자세한 내용은 [스냅샷 복사](ebs-copy-snapshot.md) 단원을 참조하십시오.

계정의 기본 암호화를 활성화하면 암호화되지 않은 스냅샷에서 생성된 볼륨 및 스냅샷 복사본이 항상 암호화됩니다. 활성화되지 않은 경우에는 요청에 암호화 파라미터를 지정해야 합니다. 자세한 내용은 [기본적으로 암호화 사용](encryption-by-default.md) 단원을 참조하십시오.