저장 데이터 암호화 - Amazon Elastic File System
유휴 시 암호화 작동 방식새 파일 시스템에 유휴 시 데이터 암호화 적용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 데이터 암호화

유휴 시 암호화는 EFS 파일 시스템에 저장된 데이터를 암호화합니다. 이를 통해 규정 준수 요구 사항을 충족하고 민감한 데이터를 무단 액세스로부터 보호할 수 있습니다. 조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다.

참고

AWS 키 관리 인프라는 Federal Information Processing Standards(FIPS) 140-3가 승인한 암호화 알고리즘을 사용합니다. 이 인프라는 미국 국립 표준 기술 연구소(NIST) 800-57 표준의 권장 사항에 부합됩니다.

Amazon EFS 콘솔을 사용하여 파일 시스템을 생성하면 유휴 시 암호화가 기본적으로 활성화됩니다. AWS CLI, API 또는 SDKs를 사용하여 파일 시스템을 생성할 때는 암호화를 명시적으로 활성화해야 합니다.

EFS 파일 시스템을 생성한 후에는 암호화 설정을 변경할 수 없습니다. 즉, 암호화되지 않은 파일 시스템을 수정하여 암호화할 수 없습니다. 대신 파일 시스템을 복제하여 암호화되지 않은 파일 시스템의 데이터를 암호화된 새 파일 시스템으로 복사합니다. 자세한 내용은 기존 EFS 파일 시스템에 대해 유휴 시 암호화를 켜려면 어떻게 해야 합니까?를 참조하세요.

유휴 시 암호화 작동 방식

암호화된 파일 시스템에서 데이터 및 메타데이터는 스토리지에 기록되기 전에 기본적으로 암호화되며 읽을 때 자동으로 해독됩니다. Amazon EFS는 해당 프로세스를 투명하게 처리하기 때문에 애플리케이션을 수정할 필요가 없습니다.

Amazon EFS는 키 관리에 AWS KMS를 사용합니다.

  • 파일 데이터 암호화 - 파일 콘텐츠는 지정한 KMS 키를 사용하여 암호화됩니다. 이는 다음 중 하나일 수 있습니다.

    • Amazon EFS용 AWS 소유 키 소유 키(aws/elasticfilesystem) – 기본 옵션으로 추가 비용이 없습니다.

    • 고객이 생성 및 관리하는 고객 관리형 키 – 추가적인 제어 및 감사 기능을 제공합니다.

  • 메타데이터 암호화 - 파일 이름, 디렉터리 이름 및 디렉터리 내용은 Amazon EFS가 내부적으로 관리하는 키를 사용하여 암호화됩니다.

암호화 프로세스

파일 시스템이 생성되거나 동일 계정의 파일 시스템으로 복제될 때, Amazon EFS는 호출자의 자격 증명을 사용하여 KMS 호출을 수행하기 위해 Forward Access Session(FAS)을 사용합니다. CloudTrail 로그에서 kms:CreateGrant 호출은 파일 시스템 또는 복제를 생성한 것과 동일한 사용자 ID에 의해 수행된 것으로 표시됩니다. CloudTrail에서 값이 elasticfilesystem.amazonaws.com.rproxy.govskope.cainvokedBy 필드를 확인하여 Amazon EFS 서비스 호출을 식별할 수 있습니다. KMS 키의 리소스 정책은 FAS가 호출을 수행할 수 있도록 CreateGrant 작업을 허용해야 합니다.

중요

권한 부여에 대한 제어를 관리하고 언제든지 취소할 수 있습니다. 권한 부여를 취소하면 Amazon EFS가 향후 작업을 위해 KMS 키에 액세스할 수 없습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서권한 부여 중지 및 취소를 참조하세요.

고객 관리형 KMS 키를 사용하는 경우 리소스 정책은 Amazon EFS 서비스 보안 주체도 허용하고 특정 서비스 엔드포인트에 대한 액세스를 제한하는 kms:ViaService 조건을 포함해야 합니다. 예:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS는 저장 데이터 및 메타데이터 암호화에 업계 표준인 AES-256 암호화 알고리즘을 사용합니다.

Amazon EFS의 KMS 키 정책에 대한 자세한 내용은 Amazon EFS에 AWS KMS 키 사용 섹션을 참조하세요.

새 파일 시스템에 유휴 시 데이터 암호화 적용

AWS Identity and Access Management(IAM)의 ID 기반 정책에서 elasticfilesystem:Encrypted IAM 조건 키를 사용하여 사용자가 EFS 파일 시스템을 생성할 때 유휴 시 암호화를 강제 적용할 수 있습니다. 조건 키 사용에 관한 자세한 내용은 예: 암호화된 파일 시스템 생성 적용 섹션을 참조하세요.

또한 AWS Organizations 내에서 서비스 제어 정책(SCP)을 정의하여 조직 내 모든 AWS 계정에 대해 Amazon EFS 암호화를 강제 적용할 수 있습니다. AWS Organizations의 서비스 제어 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서에서 서비스 제어 정책을 참조하세요.