기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 기본적으로 Amazon EBS 암호화 활성화 생성한 새 EBS 볼륨 및 스냅샷 복사본의 암호화를 적용하도록 AWS 계정을 구성할 수 있습니다. 예를 들어 Amazon EBS는 인스턴스 시작 시 생성된 EBS 볼륨과 암호화되지 않은 스냅샷에서 복사하는 스냅샷을 암호화합니다. 암호화되지 않은 EBS 리소스에서 암호화된 리소스로의 이전 예제는 [암호화되지 않은 리소스 암호화](ebs-encryption.md#encrypt-unencrypted) 섹션을 참조하세요. 기본적으로 암호화는 기존 EBS 볼륨이나 스냅샷에 영향을 미치지 않습니다. **고려 사항** + 암호화 기본 제공은 리전별 설정입니다. 특정 기능에 대해 이 기능을 활성화하면 해당 리전의 개별 볼륨 또는 스냅샷에 대해 비활성화할 수 없습니다. + Amazon EBS 암호화는 기본적으로 모든 [현재 세대](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) 및 [이전 세대](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances) 인스턴스 유형에서 지원됩니다. + 스냅샷을 복사하고 새 KMS 키로 암호화하면 전체(비증분) 복사본이 생성됩니다. 이로 인해 추가 스토리지 비용이 발생합니다. ------ #### [ Console ] **리전에서 암호화를 기본적으로 활성화하려면** 1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다. 1. 탐색 모음에서 해당 리전을 선택합니다. 1. 탐색 창에서 **EC2 대시보드**를 선택합니다. 1. 페이지의 오른쪽 위 모서리에서 **계정 속성**, **데이터 보호 및 보안**을 선택합니다. 1. **EBS 암호화** 섹션에서 **관리**를 선택합니다. 1. **활성화**를 선택합니다. 사용자를 대신하여 `aws/ebs` 생성된 별칭 AWS 관리형 키 을 기본 암호화 키로 사용하여를 유지하거나 대칭 고객 관리형 암호화 키를 선택합니다. 1. **EBS 암호화 업데이트(Update EBS encryption)**를 선택합니다. ------ #### [ AWS CLI ] **기본 설정에 따른 암호화 보기** [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html) 명령을 사용합니다. + 특정 리전 ``` aws ec2 get-ebs-encryption-by-default --region region ``` + 계정 내 모든 리전 ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **기본적으로 암호화 활성화** [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html) 명령을 사용합니다. + 특정 리전 ``` aws ec2 enable-ebs-encryption-by-default --region region ``` + 계정 내 모든 리전 ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` **기본적으로 암호화 비활성화** [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html) 명령을 사용합니다. + 특정 리전 ``` aws ec2 disable-ebs-encryption-by-default --region region ``` + 계정 내 모든 리전 ``` echo -e "Region \t Encrypt \t Key"; \ echo -e "----------- \t ------- \t -------" ; \ for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text); do default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text); kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId'); echo -e "$region \t $default \t\t $kms_key"; done ``` ------ #### [ PowerShell ] **기본 설정에 따른 암호화 보기** [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html) cmdlet을 사용합니다. + 특정 리전 ``` Get-EC2EbsEncryptionByDefault -Region region ``` + 계정 내 모든 리전 ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **기본적으로 암호화 활성화** [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html) cmdlet을 사용합니다. + 특정 리전 ``` Enable-EC2EbsEncryptionByDefault -Region region ``` + 계정 내 모든 리전 ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` **기본적으로 암호화 비활성화** [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html) cmdlet을 사용합니다. + 특정 리전 ``` Disable-EC2EbsEncryptionByDefault -Region region ``` + 계정 내 모든 리전 ``` (Get-EC2Region).RegionName | ForEach-Object { [PSCustomObject]@{ Region = $_ EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_ EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_ } } | Format-Table -AutoSize ``` ------ 기존 스냅샷이나 암호화된 볼륨과 연동되어 있는 KMS 키는 변경할 수 없습니다. 하지만 스냅샷 복사 작업 중에 다른 KMS 키와(과) 연동시킬 수는 있습니다. 복사된 스냅샷은 새로운 KMS 키(으)로 암호화됩니다.