저장 데이터 암호화 - Amazon Elastic File System
유휴 암호화 작동 방식새 파일 시스템에 저장 데이터 암호화 적용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 데이터 암호화

유휴 시 암호화는 EFS 파일 시스템에 저장된 데이터를 암호화합니다. 이를 통해 규정 준수 요구 사항을 충족하고 민감한 데이터를 무단 액세스로부터 보호할 수 있습니다. 조직에서 특정 분류를 충족하거나 특정 애플리케이션, 워크로드 또는 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다.

참고

AWS 키 관리 인프라는 FIPS(Federal Information Processing Standards) 140-3 승인 암호화 알고리즘을 사용합니다. 이 인프라는 미국 국립 표준 기술 연구소(NIST) 800-57 표준의 권장 사항에 부합됩니다.

Amazon EFS 콘솔을 사용하여 파일 시스템을 생성하면 저장 데이터 암호화가 기본적으로 활성화됩니다. AWS CLI, API 또는 SDKs를 사용하여 파일 시스템을 생성할 때는 암호화를 명시적으로 활성화해야 합니다.

EFS 파일 시스템을 생성한 후에는 암호화 설정을 변경할 수 없습니다. 즉, 암호화되지 않은 파일 시스템을 수정하여 암호화할 수 없습니다. 대신 파일 시스템을 복제하여 암호화되지 않은 파일 시스템의 데이터를 암호화된 새 파일 시스템으로 복사합니다. 자세한 내용은 기존 EFS 파일 시스템에 대해 저장 데이터 암호화를 켜려면 어떻게 해야 하나요?를 참조하세요.

유휴 암호화 작동 방식

암호화된 파일 시스템에서 데이터 및 메타데이터는 스토리지에 기록되기 전에 기본적으로 암호화되며 읽을 때 자동으로 해독됩니다. 이러한 프로세스는 Amazon EFS에서 투명하게 처리되므로 애플리케이션을 수정할 필요가 없습니다.

Amazon EFS는 다음과 같이 키 관리에 AWS KMS 를 사용합니다.

  • 파일 데이터 암호화 - 파일 콘텐츠는 지정한 KMS 키를 사용하여 암호화됩니다. 다음 중 하나일 수 있습니다.

    • Amazon EFS AWS 소유 키 용 (aws/elasticfilesystem) - 기본 옵션, 추가 요금 없음.

    • 생성 및 관리하는 고객 관리형 키 - 추가 제어 및 감사 기능을 제공합니다.

  • 메타데이터 암호화 - 파일 이름, 디렉터리 이름 및 디렉터리 콘텐츠는 Amazon EFS가 내부적으로 관리하는 키를 사용하여 암호화됩니다.

암호화 프로세스

파일 시스템이 생성되거나 동일한 계정의 파일 시스템에 복제되면 Amazon EFS는 전달 액세스 세션(FAS)을 사용하여 호출자의 자격 증명을 사용하여 KMS를 호출합니다. CloudTrail 로그에서 kms:CreateGrant 호출은 파일 시스템 또는 복제를 생성한 것과 동일한 사용자 자격 증명에 의해 이루어지는 것으로 보입니다. 값이 인 invokedBy 필드를 찾아 CloudTrail에서 Amazon EFS 서비스 호출을 식별할 수 있습니다elasticfilesystem.amazonaws.com. KMS 키의 리소스 정책은 FAS가 호출할 수 있도록 CreateGrant 작업을 허용해야 합니다.

중요

권한 부여에 대한 제어를 관리하고 언제든지 취소할 수 있습니다. 권한 부여를 취소하면 Amazon EFS가 향후 작업을 위해 KMS 키에 액세스할 수 없습니다. 자세한 내용은 개발자 안내서의 권한 부여 사용 중지 및 취소를 참조하세요. AWS Key Management Service

고객 관리형 KMS 키를 사용하는 경우 리소스 정책은 Amazon EFS 서비스 보안 주체도 허용하고 특정 서비스 엔드포인트에 대한 액세스를 제한하는 kms:ViaService 조건을 포함해야 합니다. 예:

"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"

Amazon EFS는 업계 표준 AES-256 암호화 알고리즘을 사용하여 저장된 데이터와 메타데이터를 암호화합니다.

Amazon EFS의 KMS 키 정책에 대한 자세한 내용은 섹션을 참조하세요Amazon EFS에 AWS KMS 키 사용.

새 파일 시스템에 저장 데이터 암호화 적용

AWS Identity and Access Management (IAM) 자격 증명 기반 정책의 elasticfilesystem:Encrypted IAM 조건 키를 사용하여 사용자가 EFS 파일 시스템을 생성할 때 유휴 시 생성을 적용할 수 있습니다. 조건 키 사용에 관한 자세한 내용은 예: 암호화된 파일 시스템 생성 적용 섹션을 참조하세요.

내부에서 서비스 제어 정책(SCPs 정의 AWS Organizations 하여 조직의 모든 AWS 계정 에 대해 Amazon EFS 암호화를 적용할 수도 있습니다. 의 서비스 제어 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서서비스 제어 정책을 AWS Organizations참조하세요.