기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon EFS에 AWS KMS 키 사용
<a name="EFSKMS"></a>

Amazon EFS는 키 관리를 위해 AWS Key Management Service (AWS KMS)와 통합됩니다. Amazon EFS는 고객 관리형 키를 사용하여 다음과 같은 방식으로 파일 시스템을 암호화합니다.
+ **유휴 메타데이터 암호화** – Amazon EFS는 Amazon EFS용 AWS 관리형 키 인 `aws/elasticfilesystem`을 사용해 파일 시스템 메타데이터(예: 파일 이름, 디렉터리 이름, 디렉터리 내용)를 암호화하고 암호를 해제합니다.
+ **저장 데이터 암호화** - 고객 관리형 키를 선택해 파일 데이터(파일의 내용)를 암호화하고 암호를 해제합니다. 이 고객 관리형 키에 대한 권한을 활성화, 비활성화 또는 취소할 수 있습니다. 이 고객 관리형 키는 다음 두 유형 중 하나일 수 있습니다.
  + **AWS 관리형 키 Amazon EFS용** - 기본 고객 관리형 키인 입니다`aws/elasticfilesystem`. 고객 관리형 키를 생성하고 저장하는 데 요금이 부과되는 것은 아니지만, 사용 요금이 있습니다. 자세한 내용은 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/)을 참조하세요.
  + **고객 관리형 키** – 여러 사용자나 서비스에 대한 키 정책 및 권한을 구성할 수 있는 가장 유연한 KMS 키입니다. 고객 관리형 키 생성에 대한 자세한 내용은 개발자 안내서의 [키 생성을](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 참조하세요. *AWS Key Management Service * 

    고객 관리형 키를 데이터 암호화 및 암호화 해제를 위해 사용하면 키 교체를 활성화할 수 있습니다. 키 교체를 활성화하면가 1년에 한 번 AWS KMS 자동으로 키를 교체합니다. 또한 고객 관리형 키를 사용하면 고객 관리형 키에 대한 액세스를 비활성화, 재활성화, 삭제, 취소하는 시기를 선택할 수 있습니다. 자세한 내용은 [Amazon EFS에 AWS KMS 키 사용](#EFSKMS) 단원을 참조하십시오.

**중요**  
Amazon EFS는 대칭적인 고객 관리형 키만 허용합니다. Amazon EFS에서는 비대칭 고객 관리형 키를 사용할 수 없습니다.

유휴 데이터 암호화 및 암호화 해제는 투명하게 처리됩니다. 그러나 Amazon EFS와 관련된 AWS 계정 IDs AWS KMS 작업과 관련된 AWS CloudTrail 로그에 표시됩니다. 자세한 내용은 [파일 시스템 유휴 암호화용 Amazon EFS 로그 파일 항목](logging-using-cloudtrail.md#efs-encryption-cloudtrail) 단원을 참조하십시오.

## 에 대한 Amazon EFS 키 정책 AWS KMS
<a name="EFSKMSPolicy"></a>

키 정책은 고객 관리형 키(CMK)에 대한 액세스를 제어하는 기본적인 방법입니다. 키 정책에 대한 자세한 내용은AWS Key Management Service 개발자 안내서**의 [AWS KMS의 키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)을 참조하세요. 다음은 Amazon EFS가 암호화된 저장 파일 시스템을 위해 필수적이거나 기타를 지원하는 모든 AWS KMS관련 권한을 나열한 목록입니다.
+ **kms:Encrypt** – (선택 사항)일반 텍스트를 사이퍼텍스트로 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:Decrypt** – (필수 사항) 사이퍼텍스트를 암호화 해제합니다. 사이퍼텍스트는 이전에 암호화한 일반 텍스트입니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:ReEncrypt** – (선택 사항)클라이언트 측에서 데이터의 일반 텍스트를 노출하지 않으면서 새 고객 관리형 키로 서버 측의 데이터를 암호화합니다. 먼저 데이터를 복호화한 후 다시 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:GenerateDataKeyWithoutPlaintext** – (필수 사항) 고객 관리형 키로 암호화된 데이터 암호화 키를 반환합니다. 이 권한은 **kms:GenerateDataKey\$1** 아래 기본 키 정책에 포함되어 있습니다.
+ **kms:CreateGrant** – (필수 사항)특정 조건 하에 키를 사용할 수 있는 사람을 지정할 수 있도록 키에 권한을 추가합니다. 이런 권한 부여는 키 정책을 대체하는 권한 메커니즘입니다. 권한 부여에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS KMS의 권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)를 참조하세요. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:DescribeKey** – (필수 사항)지정한 고객 관리형 키에 대한 세부 정보를 제공합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:ListAliases** – (선택 사항)계정의 모든 키 별칭을 나열합니다. 콘솔을 사용해 암호화된 파일 시스템을 생성하는 경우, 이 권한이 **KMS 키 선택** 목록을 채웁니다. 최상의 사용자 경험을 제공하기 위해 이 권한을 사용하는 것이 좋습니다. 이 권한은 기본 키 정책에 포함되어 있습니다.

### AWS 관리형 키 Amazon EFS KMS 정책용
<a name="efs-aws-managed-key-policy"></a>

Amazon EFS용에 AWS 관리형 키 대한 KMS 정책 JSON`aws/elasticfilesystem`은 다음과 같습니다.

```
{
    "Version": "2012-10-17",		 	 	 
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}
```

## 주요 상태 및 그 효과
<a name="key-states-effects"></a>

KMS 키의 상태는 암호화된 파일 시스템에 대한 액세스에 직접적인 영향을 미칩니다.

활성화됨  
일반 작업 - 파일 시스템에 대한 전체 읽기 및 쓰기 액세스

비활성화됨  
짧은 기간이 지나면 파일 시스템에 액세스할 수 없게 됩니다. 다시 활성화할 수 있습니다.

삭제 보류 중  
파일 시스템에 액세스할 수 없게 됩니다. 삭제는 대기 기간 동안 취소할 수 있습니다.

삭제됨  
파일 시스템에 영구적으로 액세스할 수 없습니다. 이 작업은 되돌릴 수 없습니다.

**주의**  
파일 시스템에 사용되는 KMS 키를 비활성화 또는 삭제하거나 키에 대한 Amazon EFS 액세스를 취소하면 파일 시스템에 액세스할 수 없게 됩니다. 백업이 없는 경우 데이터가 손실될 수 있습니다. 암호화 키를 변경하기 전에 항상 적절한 백업 절차를 마련해야 합니다.