기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon EFS의 데이터 보호
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/) Amazon EFS의 데이터 보호에 적용됩니다. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 관한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) 참조하세요.
+ 내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 Amazon EFS 또는 기타 AWS 서비스 에서 콘솔 AWS CLI, API 또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 보안 인증 정보를 URL에 포함시켜서는 안 됩니다.
**Topics**
+ [Amazon EFS의 데이터 암호화](encryption.md)
+ [인터네트워크 개인 정보 보호](internetwork-privacy.md)
# Amazon EFS의 데이터 암호화
Amazon EFS는 저장 데이터와 전송 중 데이터를 보호할 수 있는 포괄적인 암호화 기능을 제공합니다.
+ **유휴 시 암호화** - 파일 시스템에 저장된 데이터를 암호화합니다.
+ **전송 중 암호화** - 클라이언트와 파일 시스템 간에 이동하는 데이터를 암호화합니다.
조직이 데이터 및 메타데이터 암호화를 요구하는 기업이나 규제 정책을 준수해야 하는 경우, 전송 중 데이터 암호화를 사용하여 파일 시스템을 탑재하고 유휴 시 암호화된 파일 시스템을 생성하는 것이 좋습니다.
**Topics**
+ [저장 데이터 암호화](encryption-at-rest.md)
+ [전송 중 데이터 암호화](encryption-in-transit.md)
+ [Amazon EFS에 AWS KMS 키 사용](EFSKMS.md)
+ [암호화 문제 해결](troubleshooting-efs-encryption.md)
# 저장 데이터 암호화
유휴 시 암호화는 EFS 파일 시스템에 저장된 데이터를 암호화합니다. 이를 통해 규정 준수 요구 사항을 충족하고 민감한 데이터를 무단 액세스로부터 보호할 수 있습니다. 조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다.
**참고**
AWS 키 관리 인프라는 FIPS(Federal Information Processing Standards) 140-3 승인 암호화 알고리즘을 사용합니다. 이 인프라는 미국 국립 표준 기술 연구소(NIST) 800-57 표준의 권장 사항에 부합됩니다.
Amazon EFS 콘솔을 사용하여 파일 시스템을 생성하면 유휴 시 암호화가 기본적으로 활성화됩니다. AWS CLI, API 또는 SDKs를 사용하여 파일 시스템을 생성할 때는 암호화를 명시적으로 활성화해야 합니다.
EFS 파일 시스템을 생성한 후에는 암호화 설정을 변경할 수 없습니다. 즉, 암호화되지 않은 파일 시스템을 수정하여 암호화할 수 없습니다. 대신 [파일 시스템을 복제](efs-replication.md)하여 암호화되지 않은 파일 시스템의 데이터를 암호화된 새 파일 시스템으로 복사합니다. 자세한 내용은 [기존 EFS 파일 시스템에 대해 유휴 시 암호화를 켜려면 어떻게 해야 합니까?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)를 참조하세요.
## 유휴 시 암호화 작동 방식
암호화된 파일 시스템에서 데이터 및 메타데이터는 스토리지에 기록되기 전에 기본적으로 암호화되며 읽을 때 자동으로 해독됩니다. Amazon EFS는 해당 프로세스를 투명하게 처리하기 때문에 애플리케이션을 수정할 필요가 없습니다.
Amazon EFS는 다음과 같이 키 관리에 AWS KMS 를 사용합니다.
+ **파일 데이터 암호화** - 파일 콘텐츠는 지정한 KMS 키를 사용하여 암호화됩니다. 이는 다음 중 하나일 수 있습니다.
+ Amazon EFS AWS 소유 키 용 (`aws/elasticfilesystem`) - 기본 옵션, 추가 요금 없음.
+ 고객이 생성 및 관리하는 고객 관리형 키 – 추가적인 제어 및 감사 기능을 제공합니다.
+ **메타데이터 암호화** - 파일 이름, 디렉터리 이름 및 디렉터리 내용은 Amazon EFS가 내부적으로 관리하는 키를 사용하여 암호화됩니다.
### 암호화 프로세스
파일 시스템이 생성되거나 동일 계정의 파일 시스템으로 복제될 때, Amazon EFS는 호출자의 자격 증명을 사용하여 KMS 호출을 수행하기 위해 [Forward Access Session(FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 사용합니다. CloudTrail 로그에서 `kms:CreateGrant` 직접 호출은 파일 시스템 또는 복제를 생성한 것과 동일한 사용자 ID에 의해 수행된 것으로 표시됩니다. CloudTrail에서 값이 `elasticfilesystem.amazonaws.com`인 `invokedBy` 필드를 확인하여 Amazon EFS 서비스 직접 호출을 식별할 수 있습니다. KMS 키의 리소스 정책은 FAS가 호출을 수행할 수 있도록 `CreateGrant` 작업을 허용해야 합니다.
**중요**
권한 부여에 대한 제어를 관리하고 언제든지 취소할 수 있습니다. 권한 부여를 취소하면 Amazon EFS가 향후 작업을 위해 KMS 키에 액세스할 수 없습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [권한 부여 중지 및 취소](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html)를 참조하세요.
고객 관리형 KMS 키를 사용하는 경우 리소스 정책은 Amazon EFS 서비스 보안 주체도 허용하고 특정 서비스 엔드포인트에 대한 액세스를 제한하는 `kms:ViaService` 조건을 포함해야 합니다. 예제:
```
"kms:ViaService":
"elasticfilesystem.us-east-2.amazonaws.com"
```
Amazon EFS는 저장 데이터 및 메타데이터 암호화에 업계 표준인 AES-256 암호화 알고리즘을 사용합니다.
Amazon EFS의 KMS 키 정책에 대한 자세한 내용은 [Amazon EFS에 AWS KMS 키 사용](EFSKMS.md) 섹션을 참조하세요.
## 새 파일 시스템에 유휴 시 데이터 암호화 적용
AWS Identity and Access Management (IAM)의 ID 기반 정책에서 `elasticfilesystem:Encrypted` IAM 조건 키를 사용하여 사용자가 EFS 파일 시스템을 생성할 때 유휴 시 암호화를 강제 적용할 수 있습니다. 조건 키 사용에 관한 자세한 내용은 [예: 암호화된 파일 시스템 생성 적용](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest) 섹션을 참조하세요.
또한 내부에서 서비스 제어 정책(SCPs 정의 AWS Organizations 하여 조직의 모든 AWS 계정 에 대해 Amazon EFS 암호화를 적용할 수 있습니다. 의 서비스 제어 정책에 대한 자세한 내용은 *AWS Organizations 사용 설명서*의 [서비스 제어 정책을](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) AWS Organizations참조하세요.
# 전송 중 데이터 암호화
Amazon EFS는 Transport Layer Security(TLS)를 통한 전송 중 데이터 암호화를 지원합니다. 전송 중 데이터 암호화가 EFS 파일 시스템의 탑재 옵션으로 선언되면 Amazon EFS는 파일 시스템을 탑재할 때 EFS 파일 시스템과 안전한 TLS 연결을 설정합니다. 모든 NFS 트래픽은 이 암호화된 연결을 통해 라우팅됩니다.
## 전송 중 암호화 작동 방식
EFS 탑재 도우미를 사용하여 파일 시스템을 탑재하는 것이 좋습니다. NFS `mount`로 탑재하는 것보다 탑재 프로세스가 간단하기 때문입니다. EFS 탑재 도우미는 efs-proxy(efs-utils 버전 2.0.0 이상) 또는 stunnel(efs-utils 이전 버전)을 사용하여 EFS 파일 시스템과의 안전한 TLS 연결을 설정하여 프로세스를 관리합니다.
탑재 도우미를 사용하지 않아도 전송 중 데이터 암호화를 활성화할 수 있습니다. 이를 수행하는 단계는 다음과 같습니다.
**탑재 도우미 없이 전송 중 데이터 암호화 활성화 방법**
1. `stunnel`을 다운로드해 설치하고, 애플리케이션이 수신 대기하는 포트를 기록합니다. 자세한 내용은 [`stunnel` 업그레이드](upgrading-stunnel.md) 단원을 참조하십시오.
1. `stunnel`을 실행해 TLS를 사용하는 포트 2049의 EFS 파일 시스템에 연결합니다.
1. NFS 클라이언트를 사용해 `localhost:port`을 탑재합니다. `port`는 첫 번째 단계에서 기록한 포트입니다.
연결 별로 전송 중 데이터 암호화를 구성했기 때문에, 구성한 각 탑재에서는 전용 `stunnel` 프로세스가 인스턴스에서 실행됩니다. 기본적으로 탑재 도우미가 사용하는 stunnel 프로세스는 로컬 포트 20049에서 20449 사이에서 리스너로 작동하며, Amazon EFS에는 포트 2049로 연결합니다.
**참고**
기본적으로 TLS와 함께 EFS 탑재 도우미를 사용하는 경우 Online Certificate Status Protocol(OCSP) 및 인증서 호스트 이름 확인을 사용합니다. EFS 탑재 도우미는 TLS 기능에 stunnel 프로그램을 사용합니다. 일부 Linux 버전에는 이 TLS 기능을 기본값으로 지원하지 않는 stunnel 버전이 포함되어 있습니다. 이러한 Linux 버전 중 하나를 사용하는 경우 TLS를 사용해서 EFS 파일 시스템을 탑재할 수 없습니다.
amazon-efs-utils 패키지를 설치해 시스템 stunnel 버전을 업그레이드한 후 [`stunnel` 업그레이드](upgrading-stunnel.md) 단원을 참조하십시오.
암호화 관련 문제는 [암호화 문제 해결](troubleshooting-efs-encryption.md)을 참조하세요.
전송 중 데이터 암호화를 사용하는 경우 NFS 클라이언트 설정이 변경됩니다. 능동적으로 탑재한 파일 시스템을 검사할 때, 다음 예와 같이 127.0.0.1이나 `localhost`에 탑재된 파일 시스템을 확인할 수 있습니다.
```
$ mount | column -t
127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```
TLS와 EFS 탑재 도우미로 탑재를 할 때 로컬 포트로 탑재되도록 NFS 클라이언트를 다시 구성합니다. EFS 탑재 도우미가 이 로컬 포트에서 수신 대기하는 클라이언트 `stunnel` 프로세스를 시작하며, `stunnel` 프로세스는 TLS를 사용하여 EFS 파일 시스템에 대해 암호화된 연결을 엽니다. EFS 탑재 도우미가 암호화된 연결과 연결된 구성에 대한 설정과 유지 관리를 맡습니다.
다음 명령을 사용해 로컬 탑재 지점에 해당되는 Amazon EFS 파일 시스템 ID를 파악할 수 있습니다. *efs-mount-point*를 파일 시스템을 탑재시킨 로컬 경로로 바꿔야 합니다.
```
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
```
전송 중 데이터 암호화에 EFS 탑재 도우미를 사용하면 `amazon-efs-mount-watchdog`라는 프로세스가 생성됩니다. 이 프로세스는 각 탑재의 stunnel 프로세스를 실행시키고, EFS 파일 시스템의 탑재가 해제되었을 때 stunnel을 중단합니다. 어떤 이유로 stunnel 프로세스가 예기치 않게 종료된 경우, 이 감시 프로세스가 stunnel 프로세스를 다시 시작합니다.
# Amazon EFS에 AWS KMS 키 사용
Amazon EFS는 키 관리를 위해 AWS Key Management Service (AWS KMS)와 통합됩니다. Amazon EFS는 고객 관리형 키를 사용하여 다음과 같은 방식으로 파일 시스템을 암호화합니다.
+ **유휴 메타데이터 암호화** – Amazon EFS는 Amazon EFS용 AWS 관리형 키 인 `aws/elasticfilesystem`을 사용해 파일 시스템 메타데이터(예: 파일 이름, 디렉터리 이름, 디렉터리 내용)를 암호화하고 암호를 해제합니다.
+ **저장 데이터 암호화** - 고객 관리형 키를 선택해 파일 데이터(파일의 내용)를 암호화하고 암호를 해제합니다. 이 고객 관리형 키에 대한 권한을 활성화, 비활성화 또는 취소할 수 있습니다. 이 고객 관리형 키는 다음 두 유형 중 하나일 수 있습니다.
+ **AWS 관리형 키 Amazon EFS용** - 기본 고객 관리형 키인 입니다`aws/elasticfilesystem`. 고객 관리형 키를 생성하고 저장하는 데 요금이 부과되는 것은 아니지만, 사용 요금이 있습니다. 자세한 내용은 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/)을 참조하세요.
+ **고객 관리형 키** – 여러 사용자나 서비스에 대한 키 정책 및 권한을 구성할 수 있는 가장 유연한 KMS 키입니다. 고객 관리형 키 생성에 대한 자세한 내용은 개발자 안내서의 [키 생성을](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 참조하세요. *AWS Key Management Service *
고객 관리형 키를 데이터 암호화 및 암호화 해제를 위해 사용하면 키 교체를 활성화할 수 있습니다. 키 교체를 활성화하면가 1년에 한 번 AWS KMS 자동으로 키를 교체합니다. 또한 고객 관리형 키를 사용하면 고객 관리형 키에 대한 액세스를 비활성화, 재활성화, 삭제, 취소하는 시기를 선택할 수 있습니다. 자세한 내용은 [Amazon EFS에 AWS KMS 키 사용](#EFSKMS) 단원을 참조하십시오.
**중요**
Amazon EFS는 대칭적인 고객 관리형 키만 허용합니다. Amazon EFS에서는 비대칭 고객 관리형 키를 사용할 수 없습니다.
유휴 데이터 암호화 및 암호화 해제는 투명하게 처리됩니다. 그러나 Amazon EFS와 관련된 AWS 계정 IDs AWS KMS 작업과 관련된 AWS CloudTrail 로그에 표시됩니다. 자세한 내용은 [파일 시스템 유휴 암호화용 Amazon EFS 로그 파일 항목](logging-using-cloudtrail.md#efs-encryption-cloudtrail) 단원을 참조하십시오.
## 에 대한 Amazon EFS 키 정책 AWS KMS
키 정책은 고객 관리형 키(CMK)에 대한 액세스를 제어하는 기본적인 방법입니다. 키 정책에 대한 자세한 내용은AWS Key Management Service 개발자 안내서**의 [AWS KMS의 키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)을 참조하세요. 다음은 Amazon EFS가 암호화된 저장 파일 시스템을 위해 필수적이거나 기타를 지원하는 모든 AWS KMS관련 권한을 나열한 목록입니다.
+ **kms:Encrypt** – (선택 사항)일반 텍스트를 사이퍼텍스트로 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:Decrypt** – (필수 사항) 사이퍼텍스트를 암호화 해제합니다. 사이퍼텍스트는 이전에 암호화한 일반 텍스트입니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:ReEncrypt** – (선택 사항)클라이언트 측에서 데이터의 일반 텍스트를 노출하지 않으면서 새 고객 관리형 키로 서버 측의 데이터를 암호화합니다. 먼저 데이터를 복호화한 후 다시 암호화합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:GenerateDataKeyWithoutPlaintext** – (필수 사항) 고객 관리형 키로 암호화된 데이터 암호화 키를 반환합니다. 이 권한은 **kms:GenerateDataKey\$1** 아래 기본 키 정책에 포함되어 있습니다.
+ **kms:CreateGrant** – (필수 사항)특정 조건 하에 키를 사용할 수 있는 사람을 지정할 수 있도록 키에 권한을 추가합니다. 이런 권한 부여는 키 정책을 대체하는 권한 메커니즘입니다. 권한 부여에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS KMS의 권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)를 참조하세요. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:DescribeKey** – (필수 사항)지정한 고객 관리형 키에 대한 세부 정보를 제공합니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
+ **kms:ListAliases** – (선택 사항)계정의 모든 키 별칭을 나열합니다. 콘솔을 사용해 암호화된 파일 시스템을 생성하는 경우, 이 권한이 **KMS 키 선택** 목록을 채웁니다. 최상의 사용자 경험을 제공하기 위해 이 권한을 사용하는 것이 좋습니다. 이 권한은 기본 키 정책에 포함되어 있습니다.
### AWS 관리형 키 Amazon EFS KMS 정책용
Amazon EFS용에 AWS 관리형 키 대한 KMS 정책 JSON`aws/elasticfilesystem`은 다음과 같습니다.
```
{
"Version": "2012-10-17",
"Id": "auto-elasticfilesystem-1",
"Statement": [
{
"Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
"kms:CallerAccount": "111122223333"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
## 주요 상태 및 그 효과
KMS 키의 상태는 암호화된 파일 시스템에 대한 액세스에 직접적인 영향을 미칩니다.
활성화됨
일반 작업 - 파일 시스템에 대한 전체 읽기 및 쓰기 액세스
비활성화됨
짧은 기간이 지나면 파일 시스템에 액세스할 수 없게 됩니다. 다시 활성화할 수 있습니다.
삭제 보류 중
파일 시스템에 액세스할 수 없게 됩니다. 삭제는 대기 기간 동안 취소할 수 있습니다.
삭제됨
파일 시스템에 영구적으로 액세스할 수 없습니다. 이 작업은 되돌릴 수 없습니다.
**주의**
파일 시스템에 사용되는 KMS 키를 비활성화 또는 삭제하거나 키에 대한 Amazon EFS 액세스를 취소하면 파일 시스템에 액세스할 수 없게 됩니다. 백업이 없는 경우 데이터가 손실될 수 있습니다. 암호화 키를 변경하기 전에 항상 적절한 백업 절차를 마련해야 합니다.
# 암호화 문제 해결
**Topics**
+ [전송 중 데이터 암호화를 사용한 탑재에 실패](#mounting-tls-fails)
+ [전송 중 데이터 암호화를 사용한 탑재가 중단됨](#mounting-tls-interrupt)
+ [유휴 암호화된 파일 시스템을 생성할 수 없음](#unable-to-encrypt)
+ [사용할 수 없는 암호화된 파일 시스템](#unusable-encrypt)
## 전송 중 데이터 암호화를 사용한 탑재에 실패
기본적으로 전송 계층 보안(TLS)으로 Amazon EFS 탑재 도우미를 사용할 때 호스트 이름 확인을 적용합니다. 일부 시스템은 이 기능을 지원하지 않습니다(예: Red Hat Enterprise Linux 또는 CentOS 사용하는 경우). 이 경우 TLS를 사용한 EFS 파일 시스템 탑재에 실패합니다.
**취할 조치**
클라이언트의 stunnel 버전을 호스트 이름 확인을 지원하는 버전으로 업그레이드하는 것이 좋습니다. 자세한 내용은 [`stunnel` 업그레이드](upgrading-stunnel.md) 단원을 참조하십시오.
## 전송 중 데이터 암호화를 사용한 탑재가 중단됨
가능성은 낮지만 클라이언트 측 이벤트로 인해 Amazon EFS 파일 시스템에 대한 암호화된 연결이 해제되거나 중단될 수도 있습니다.
**취할 조치**
전송 중 데이터 암호화가 적용된 Amazon EFS 파일 시스템 연결이 중단되는 경우 다음 단계를 수행합니다.
1. stunnel 서비스가 클라이언트에서 실행되고 있는지 확인합니다.
1. 감시 애플리케이션 `amazon-efs-mount-watchdog`가 클라이언트에서 실행되고 있는지 확인합니다. 다음 명령으로 이 애플리케이션 실행 여부를 확인할 수 있습니다.
```
ps aux | grep [a]mazon-efs-mount-watchdog
```
1. 지원 로그를 확인합니다. 자세한 내용은 [지원 로그 얻기](mount-helper-logs.md) 단원을 참조하십시오.
1. stunnel 로그를 활성화한 후 여기의 정보를 확인하는 방법도 있습니다. `/etc/amazon/efs/efs-utils.conf`의 로그 구성을 변경해 stunnel 로그를 활성화할 수 있습니다. 그러나 이렇게 하기 위해서는 탑재 도우미가 있는 파일 시스템의 탑재를 해제한 후 다시 탑재해야 합니다. 그래야 변경 사항이 적용됩니다.
**중요**
활성화된 stunnel 로그가 파일 시스템에서 상당한 공간을 사용할 수 있습니다.
중단이 계속되면 AWS Support에 문의하십시오.
## 유휴 암호화된 파일 시스템을 생성할 수 없음
유휴 암호화된 새 파일 시스템 생성을 시도했습니다. 그러나를 AWS KMS 사용할 수 없다는 오류 메시지가 표시됩니다.
**취할 조치**
이 오류는 드물게에서 일시적으로 사용할 수 없게 AWS KMS 되는 경우에 발생할 수 있습니다 AWS 리전. 이 경우가 전체 가용성으로 AWS KMS 돌아갈 때까지 기다린 다음 파일 시스템을 다시 생성해 보십시오.
## 사용할 수 없는 암호화된 파일 시스템
암호화된 파일 시스템이 계속 NFS 서버 오류를 반환합니다. 이러한 오류는 EFS가 다음 이유 중 하나로 AWS KMS 인해에서 마스터 키를 검색할 수 없을 때 발생할 수 있습니다.
+ 키가 비활성화되어 있습니다.
+ 키가 삭제됐습니다.
+ Amazon EFS가 키를 사용할 수 있는 권한이 취소되었습니다.
+ AWS KMS 를 일시적으로 사용할 수 없습니다.
**취할 조치**
먼저 AWS KMS 키가 활성화되어 있는지 확인합니다. 콘솔에서 키를 확인하면 됩니다. 자세한 내용은AWS Key Management Service 개발자 안내서**에서 [키 보기](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html)를 참조하세요.
키가 활성화되어 있지 않으면 활성화합니다. 자세한 내용은AWS Key Management Service 개발자 안내서**의 [키 활성화 및 비활성화](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)를 참조하세요.
키가 삭제 대기 중인 경우, 이 상태가 키를 비활성화합니다. 삭제를 취소한 후 키를 다시 활성화할 수 있습니다. 자세한 내용은AWS Key Management Service 개발자 안내서**에서 [키 삭제 예약 및 취소](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion)를 참조하세요.
키가 활성화되어 있지만 여전히 문제가 발생하거나 키를 다시 활성화하는 데 문제가 발생하면 AWS Support에 문의하세요.
# 인터네트워크 개인 정보 보호
이 주제에서는 Amazon EFS가 서비스에서 다른 위치로의 연결을 어떻게 보호하는지 설명합니다.
## 서비스와 온프레미스 클라이언트 및 애플리케이션 간의 트래픽
프라이빗 네트워크와 간에 AWS는 두 가지 연결 옵션이 있습니다.
+ AWS Site-to-Site VPN 연결입니다. 자세한 내용은 [란 무엇입니까 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)를 참조하세요.
+ Direct Connect 연결입니다. 자세한 내용은 [란 무엇입니까 Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)를 참조하세요.
네트워크를 통한 Amazon EFS 액세스는 AWS 게시된 APIs. 클라이언트가 Transport Layer 1.2 이상을 지원해야 합니다. TLS 1.3 이상을 사용하는 것이 좋습니다. 클라이언트는 DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)와 같은 PFS(전달 완전 보안)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다. 또한, 반드시 액세스 키 ID와 IAM 보안 주체와 관련된 비밀 액세스 키를 사용하여 요청에 서명하거나 [AWS Security Token Service (AWS STS)](https://docs.aws.amazon.com/STS/latest/APIReference/)를 사용하여 요청에 서명할 수 있는 임시 보안 인증 정보를 생성할 수 있습니다.
## VPC와 Amazon EFS API 간의 트래픽
Virtual Private Cloud(VPC)와 Amazon EFS API 간에 프라이빗 연결을 설정하기 위해 인터페이스 VPC 엔드포인트를 생성할 수 있습니다. 인터넷을 통해 트래픽을 보내지 않고 이 연결을 사용하여 VPC에서 Amazon EFS API를 호출할 수 있습니다. 엔드포인트는 인터넷 게이트웨이, NAT 인스턴스 또는 가상 프라이빗 네트워크(VPN) 연결 없이도 Amazon EFS API에 대한 안전한 연결을 제공합니다. 자세한 내용은 [Amazon EFS에서 인터페이스 VPC 엔드포인트 작업](efs-vpc-endpoints.md) 단원을 참조하십시오.
## 동일한 리전의 AWS 리소스 간 트래픽
Amazon EFS용 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트는 VPC 내의 논리적 엔터티로서, Amazon EFS에만 연결을 허용합니다. Amazon VPC는 Amazon EFS로 요청을 라우팅하고, 대응을 다시 VPC로 라우팅합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)를 참조하세요.