EMR WAL 서비스에 대한 고객 KMS 키를 사용한 저장 데이터 암호화
EMR 미리 쓰기 로그(WAL)는 고객 KMS 키 encryption-at-rest를 지원합니다. Amazon EMR WAL이 AWS KMS와 통합되는 방법에 대한 자세한 내용은 다음과 같습니다.
EMR 미리 쓰기 로그(WAL)는 기본적으로 AWS를 EMR_EC2_DefaultRole을 통해 CreateWAL, AppendEdit, ArchiveWALCheckPoint, CompleteWALFlush, DeleteWAL, GetCurrentWALTime, ReplayEdits, TrimWAL과 상호 작용합니다. 나열된 이전 작업이 간접적으로 호출되면 EMR WAL은 KMS 키에 대해 Decrypt 및 GenerateDataKey를 생성합니다.
고려 사항
EMR WAL에 AWS KMS 기반 암호화를 사용하는 경우 다음 사항을 고려하세요.
-
EMR WAL이 생성된 후에는 암호화 구성을 변경할 수 없습니다.
-
자체 KMS 키로 KMS 암호화를 사용하는 경우, 해당 키는 Amazon EMR 클러스터와 동일한 리전에 있어야 합니다.
-
필요한 모든 IAM 권한을 유지할 책임이 있으며 WAL 기간 동안 필요한 권한을 취소하지 않는 것이 좋습니다. 그렇지 않으면 연결된 암호화 키가 존재하지 않으므로 EMR WAL을 삭제할 수 없는 등 예기치 않은 장애 시나리오가 발생합니다.
-
AWS KMS 키의 사용과 관련된 비용이 있습니다. 자세한 내용은 AWS Key Management Service요금
을 참조하세요.
필수 IAM 권한
고객 KMS 키를 사용하여 미사용 시 EMR WAL을 암호화하려면 EMR WAL 클라이언트 역할 및 EMR WAL 서비스 보안 주체에 대한 적절한 권한을 설정합니다emrwal.amazonaws.com.
EMR WAL 클라이언트 역할에 대한 권한
다음은 EMR WAL 클라이언트 역할에 필요한 IAM 정책입니다.
EMR 클러스터의 EMR WAL 클라이언트는 EMR_EC2_DefaultRole을 기본적으로 사용합니다. EMR 클러스터의 인스턴스 프로파일에 다른 역할을 사용하는 경우 각 역할에 적절한 권한이 있는지 확인합니다.
역할 정책 관리에 대한 자세한 내용은 IAM 자격 증명 권한 추가 및 제거를 참조하세요.
KMS 키 정책에 대한 권한
KMS 정책에서 EMR WAL 클라이언트 역할과 EMR WAL 서비스 Decrypt 및 GenerateDataKey* 권한을 부여합니다. 키 정책 관리에 대한 자세한 내용은 KMS 키 정책을 참조하세요.
기본 역할을 변경하면 코드 조각에 지정된 역할이 변경될 수 있습니다.
AWS KMS와 Amazon EMR WAL의 상호 작용 모니터링
Amazon EMR WAL 암호화 컨텍스트
암호화 컨텍스트는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
AWS KMS에 대한 GenerateDataKey 및 Decrypt 요청에서 Amazon EMR WAL은 EMR WAL 이름을 식별하는 하나의 이름-값 쌍이 포함된 암호화 컨텍스트를 사용합니다.
"encryptionContext": { "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname" }
암호화 컨텍스트를 사용하여 AWS CloudTrailhttps://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html 및 Amazon CloudWatch Logs와 같은 감사 레코드와 로그에서 그리고 정책 및 권한 부여의 조건으로서 이러한 암호화 작업을 식별할 수 있습니다.
