기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 보안
<a name="aiml-security"></a>

**작은 정보**  
 Amazon EKS 워크숍을 통해 모범 사례를 [살펴봅니다](https://aws-experience.com/emea/smb/events/series/get-hands-on-with-amazon-eks?trk=4a9b4147-2490-4c63-bc9f-f8a84b122c8c&sc_channel=el).

## 보안 및 규정 준수
<a name="_security_and_compliance"></a>

### 암호화 준수 스토리지를 위해 KMS가 포함된 S3 고려
<a name="_consider_s3_with_kms_for_encryption_compliant_storage"></a>

달리 지정하지 않는 한 모든 S3 버킷은 기본적으로 [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)를 사용하여 유휴 객체를 암호화합니다. 그러나 AWS Key Management Service(AWS KMS) 키(SSE-KMS)를 사용한 서버 측 암호화를 대신 사용하도록 버킷을 구성할 수 있습니다. AWS KMS 내 보안 관리가 암호화 관련 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다. 이러한 KMS 키를 사용하여 Amazon S3 버킷에서 데이터를 보호할 수 있습니다. S3 버킷에서 SSE-KMS 암호화를 사용하는 경우 AWS KMS 키는 버킷과 동일한 리전에 있어야 합니다.

[SSE-KMS용 S3 버킷 키를](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#sse-kms-bucket-keys) 사용하도록 [범용 버킷](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html)을 구성하여 Amazon S3에서 AWS KMS로의 요청 트래픽을 줄여 AWS KMS 요청 비용을 최대 99% 절감합니다. S3 버킷 키[는 디렉터리 버킷의 및 작업에 대해 항상 활성화](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-UsingKMSEncryption.html#s3-express-sse-kms-bucket-keys)되며 비활성화할 수 없습니다. `GET` `PUT` 

[Amazon S3 Express One Zone](https://aws.amazon.com/s3/storage-classes/express-one-zone/)은 *S3 디렉터리 버킷이라는 특정 유형의 버킷*을 사용합니다. 디렉터리 버킷은 S3 Express One Zone 스토리지 클래스 전용이며 지연 시간이 짧은 고성능 액세스를 지원합니다. [S3 디렉터리 버킷에서 기본 버킷 암호화를 구성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html)하려면 다음 예제와 같이 AWS CLI를 사용하고 별칭이 아닌 KMS 키 ID 또는 ARN을 지정합니다.

**Example**  

```
aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'
```
EKS 포드의 IAM 역할에 암호화된 객체에 액세스할 수 있는 KMS 권한(예: `kms:Decrypt`)이 있는지 확인합니다. 버킷에 샘플 모델을 업로드하고, 포드에 탑재하고(예: Mountpoint S3 CSI 드라이버를 통해), 포드가 암호화된 데이터를 오류 없이 읽을 수 있는지 확인하여 스테이징 환경에서 이를 테스트합니다. AWS CloudTrail을 통해 로그를 감사하여 암호화 요구 사항 준수를 확인합니다. 설정 세부 정보 및 키 관리는 [KMS 설명서를](https://docs.aws.amazon.com/kms/latest/developerguide/) 참조하세요.