기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 메인프레임 현대화의 데이터 보호
AWS 공동 책임 모델 AWS 메인프레임 현대화의 데이터 보호에 적용됩니다. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 인프라에서 호스팅되는 콘텐츠를 관리해야 합니다. 사용하는 AWS 서비스
의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 대한 자세한 내용은 데이터 프라이버시 FAQ를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 AWS 보안 블로그의 AWS 공동 책임 모델 및 GDPR 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
-
각 계정에 다중 인증(MFA)을 사용하세요.
-
SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
-
를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 AWS CloudTrail 사용 설명서의 CloudTrail 추적 작업을 참조하세요.
-
내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
-
Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용하세요.
-
명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal Information Processing Standard(FIPS) 140-3을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 이름 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 AWS Mainframe Modernization 또는 기타 AWS 서비스 에서 콘솔 AWS CLI, API 또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.
AWS 메인프레임 현대화가 수집하는 데이터
AWS 메인프레임 현대화는 다음과 같은 여러 유형의 데이터를 수집합니다.
-
Application configuration
: 이 파일은 애플리케이션을 구성하기 위해 생성하는 JSON 파일입니다. 여기에는 AWS 메인프레임 현대화가 제공하는 다양한 옵션에 대한 선택 사항이 포함되어 있습니다. 파일에는 애플리케이션 아티팩트가 저장되는 Amazon Simple Storage Service 경로 또는 데이터베이스 자격 증명이 저장 AWS Secrets Manager 되는 Amazon 리소스 이름(ARN) AWS 과 같은 종속 리소스에 대한 정보도 포함되어 있습니다.
-
Application executable (binary)
: 컴파일하고 AWS Mainframe Modernization에 배포하려는 바이너리입니다.
-
Application JCL or scripts
: 이 소스 코드는 애플리케이션을 대신하여 일괄 작업 또는 기타 처리를 관리합니다.
-
User application data
: 데이터 세트를 가져올 때 AWS 메인프레임 현대화는 애플리케이션이 액세스할 수 있도록 관계형 데이터베이스에 데이터 세트를 저장합니다.
-
Application source code
: Amazon AppStream 2.0을 통해 AWS 메인프레임 현대화는 코드를 작성하고 컴파일할 수 있는 개발 환경을 제공합니다.
AWS 메인프레임 현대화는이 데이터를 기본적으로 저장합니다 AWS. 귀하로부터 수집한 데이터는 AWS 메인프레임 현대화가 관리하는 Amazon S3 버킷에 저장됩니다. 애플리케이션을 배포하면 AWS Mainframe Modernization이 Amazon Elastic Block Store 지원 Amazon Elastic Compute Cloud 인스턴스에 데이터를 다운로드합니다. 정리가 트리거되면 Amazon EBS 볼륨과 Amazon S3에서 데이터가 제거됩니다. Amazon EBS 볼륨은 싱글 테넌트이므로 고객 한 명당 하나의 인스턴스가 사용됩니다. 인스턴스는 절대 공유되지 않습니다. 런타임 환경을 삭제하면 Amazon EBS 볼륨도 삭제됩니다. 애플리케이션을 삭제하면 Amazon S3에서 아티팩트와 구성이 삭제됩니다.
애플리케이션 로그는 Amazon CloudWatch에 저장됩니다. 고객 애플리케이션 로그 메시지도 CloudWatch로 내보내집니다. CloudWatch 로그에는 고객의 민감한 데이터(예: 디버그 메시지의 비즈니스 데이터 또는 보안 정보) 가 포함될 수 있습니다. 자세한 내용은 Amazon CloudWatch를 사용한 AWS 메인프레임 현대화 모니터링 단원을 참조하십시오.
또한 하나 이상의 Amazon Elastic File System 또는 Amazon FSx 파일 시스템을 런타임 환경에 연결하기로 선택하면 해당 시스템 내의 데이터가 AWS에 저장됩니다. 파일 시스템 사용을 중단하기로 결정한 경우 해당 데이터를 정리해야 합니다.
AWS Mainframe Modernization이 애플리케이션 배포 및 데이터 세트 가져오기에 사용하는 Amazon S3 버킷에 데이터를 배치할 때 사용 가능한 모든 Amazon S3 암호화 옵션을 사용하여 데이터를 보호할 수 있습니다. 또한 런타임 환경에 이러한 파일 시스템을 하나 이상 연결하는 경우 Amazon EFS 및 Amazon FSx 암호화 옵션을 사용할 수 있습니다.
AWS Mainframe Modernization 서비스의 저장 데이터 암호화
AWS 메인프레임 현대화는와 통합되어 데이터를 영구적으로 저장하는 모든 종속 리소스, 즉 Amazon Simple Storage Service, Amazon DynamoDB 및 Amazon Elastic Block Store에 투명한 서버 측 암호화(SSE)를 AWS Key Management Service 제공합니다. AWS 메인프레임 현대화는 대칭 암호화 AWS KMS 키를 생성하고 관리합니다 AWS KMS.
기본적으로 저장된 데이터를 암호화하면 민감한 데이터를 보호하는 데 수반되는 운영 오버헤드와 복잡성을 줄이는 데 도움이 됩니다. 동시에 엄격한 암호화 규정 준수 및 규제 요구 사항이 필요한 애플리케이션을 마이그레이션할 수 있습니다.
런타임 환경 및 애플리케이션을 생성할 때는 이 암호화 계층을 비활성화하거나 대체 암호화 유형을 선택할 수 없습니다.
AWS 메인프레임 현대화 애플리케이션 및 런타임 환경에 자체 고객 관리형 키를 사용하여 Amazon S3 및 Amazon EBS 리소스를 암호화할 수 있습니다.
AWS 메인프레임 현대화 애플리케이션의 경우이 키를 사용하여 애플리케이션 정의뿐만 아니라 서비스 계정에 생성된 Amazon S3 버킷에 저장된 JCL 파일과 같은 다른 애플리케이션 리소스를 암호화할 수 있습니다. 자세한 내용은 애플리케이션 만들기 단원을 참조하십시오.
AWS Mainframe Modernization 런타임 환경의 경우 AWS Mainframe Modernization은 고객 관리형 키를 사용하여 서비스 계정에 있는 AWS Mainframe Modernization Amazon EC2 인스턴스에 생성하고 연결하는 Amazon EBS 볼륨을 암호화합니다. 자세한 내용은 런타임 환경 만들기 단원을 참조하십시오.
DynamoDB 리소스는 항상 AWS Mainframe Modernization 서비스 계정 AWS 관리형 키 의를 사용하여 암호화됩니다. 고객 관리형 키를 사용하여 DynamoDB 리소스를 암호화할 수 없습니다.
AWS Mainframe Modernization은 다음 작업에 고객 관리형 키를 사용합니다.
AWS Mainframe Modernization은 고객 관리형 키를 사용하여 AWS Mainframe Modernization 애플리케이션을 지원하도록 생성된 Amazon Relational Database Service 또는 Amazon Aurora 데이터베이스, Amazon Simple Queue Service 대기열 및 Amazon ElastiCache 캐시를 암호화하지 않습니다. 고객 데이터가 포함되어 있지 않기 때문입니다.
자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키를 참조하세요.
다음 표에는 AWS 메인프레임 현대화가 민감한 데이터를 암호화하는 방법이 요약되어 있습니다.
데이터 유형 |
AWS 관리형 키 암호화 |
고객 관리형 키 암호화 |
Definition
특정 애플리케이션에 대한 애플리케이션 정의입니다.
|
활성화됨
|
활성화됨
|
EnvironmentSummary
런타임 환경에 대한 정보가 들어 있습니다.
|
활성화됨
|
활성화됨
|
ApplicationSummary
AWS Mainframe Modernization 애플리케이션에 대한 정보를 포함합니다.
|
활성화됨
|
활성화됨
|
DeploymentSummary
AWS Mainframe Modernization 애플리케이션의 배포에 대한 정보를 포함합니다.
|
활성화됨
|
활성화됨
|
AWS 메인프레임 현대화는를 사용하여 저장 데이터 암호화를 자동으로 활성화 AWS 관리형 키 하여 민감한 데이터를 무료로 보호합니다. 그러나 고객 관리형 키 사용에는 AWS KMS 요금이 적용됩니다. 요금에 대한 자세한 내용은 AWS Key Management Service
요금 부분을 참조하세요.
에 대한 자세한 내용은 단원을 AWS KMS참조하십시오 AWS Key Management Service.
AWS Mainframe Modernization이에서 권한 부여를 사용하는 방법 AWS KMS
AWS Mainframe Modernization에서 고객 관리형 키를 사용하려면 권한 부여가 필요합니다.
애플리케이션 또는 런타임 환경을 생성하거나 고객 관리형 키로 암호화된 AWS Mainframe Modernization에 애플리케이션을 배포하면 AWS Mainframe Modernization은 CreateGrant 요청을에 전송하여 사용자를 대신하여 권한을 생성합니다 AWS KMS. 의 권한 부여 AWS KMS 는 AWS Mainframe Modernization에 고객 계정의 KMS 키에 대한 액세스 권한을 부여하는 데 사용됩니다.
AWS 다음과 같은 내부 작업에 고객 관리형 키를 사용하려면 Mainframe Modernization에 권한 부여가 필요합니다.
-
DescribeKey 요청을에 전송 AWS KMS 하여 애플리케이션, 런타임 환경 또는 애플리케이션 배포를 생성할 때 입력한 대칭 고객 관리형 키 ID가 유효한지 확인합니다.
-
GenerateDataKey 요청을에 전송 AWS KMS 하여 AWS Mainframe Modernization 런타임 환경을 호스팅하는 Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨을 암호화합니다.
-
Amazon EBS에서 암호화된 콘텐츠를 복호화 AWS KMS 하려면에 Decrypt 요청을 보냅니다.
AWS Mainframe Modernization은 권한 AWS KMS 부여를 사용하여 런타임 환경을 생성하고, 애플리케이션을 생성 또는 재배포하고, 배포를 생성할 때 Secrets Manager에 저장된 보안 암호를 해독합니다. AWS Mainframe Modernization이 생성하는 권한 부여는 다음 작업을 지원합니다.
-
런타임 환경 권한 부여 생성 또는 업데이트:
-
Decrypt
-
암호화
-
ReEncryptFrom
-
ReEncryptTo
-
GenerateDataKey
-
DescribeKey
-
CreateGrant
-
애플리케이션 권한 부여 생성 또는 재배포:
-
배포 그룹 만들기:
언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 이렇게 하면 AWS 메인프레임 현대화는 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 데이터에 의존하는 작업에 영향을 미칩니다. 예를 들어 AWS Mainframe Modernization이 해당 키에 대한 권한 부여 없이 고객 관리형 키로 암호화된 애플리케이션 정의에 액세스하려고 하면 애플리케이션 생성 작업이 실패합니다.
AWS 메인프레임 현대화는 사용자 애플리케이션 구성(JSON 파일) 및 아티팩트(바이너리 및 실행 파일)를 수집합니다. 또한 AWS 메인프레임 현대화 운영에 사용되는 다양한 엔티티를 추적하는 메타데이터를 생성하고 로그와 지표를 생성합니다. 고객이 볼 수 있는 로그 및 지표는 다음과 같습니다.
또한 AWS 메인프레임 현대화는 측정, 활동 보고 등을 위해 서비스에 대한 사용 데이터와 지표를 수집합니다. 이 데이터는 고객이 볼 수 없습니다.
AWS 메인프레임 현대화는 데이터 유형에 따라이 데이터를 다른 위치에 저장합니다. 업로드하는 고객 데이터는 Amazon S3 버킷에 저장됩니다. 서비스 데이터는 Amazon S3와 DynamoDB 모두에 저장됩니다. 애플리케이션을 배포하면 데이터와 서비스 데이터가 모두 Amazon EBS 볼륨에 다운로드됩니다. Amazon EFS 또는 Amazon FSx 스토리지를 런타임 환경에 연결하도록 선택하면 해당 파일 시스템에 저장된 데이터도 Amazon EBS 볼륨으로 다운로드됩니다.
저장 시 암호화는 기본적으로 구성됩니다. 비활성화하거나 변경할 수 없습니다. 현재는 해당 구성도 변경할 수 없습니다.
고객 관리형 키 생성
AWS Management Console 또는 AWS KMS APIs.
대칭형 고객 관리형 키를 생성하려면
AWS Key Management Service 개발자 안내서의 대칭형 고객 관리형 키 생성 단계를 따르세요.
키 정책
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키에 대한 액세스 관리를 참조하세요.
AWS Mainframe Modernization 리소스와 함께 고객 관리형 키를 사용하려면 키 정책에서 다음 API 작업을 허용해야 합니다.
-
kms:CreateGrant
- 고객 관리형 키에 권한 부여를 추가합니다. 지정된 KMS 키에 대한 제어 액세스 권한을 부여합니다. 이를 통해 메인프레임 현대화에 필요한 작업을 부여 AWS 할 수 있습니다. 권한 부여 사용에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하십시오.
이를 통해 AWS Mainframe Modernization은 다음을 수행할 수 있습니다.
-
데이터 키가 암호화에 즉시 사용되지 않으므로 암호화된 데이터 키를 생성하고 저장하려면 GenerateDataKey
를 호출합니다.
-
저장된 암호화된 데이터 키를 사용하여 암호화된 데이터에 액세스하려면 Decrypt
를 호출합니다.
-
서비스가 RetireGrant
를 사용할 수 있도록 은퇴하는 보안 주체를 설정하세요.
-
kms:DescribeKey
- AWS Mainframe Modernization이 키를 검증할 수 있도록 고객 관리형 키 세부 정보를 제공합니다.
AWS 메인프레임 현대화에는 고객의 키 정책에 kms:CreateGrant
및 kms:DescribeKey
권한이 필요합니다. AWS 메인프레임 현대화는이 정책을 사용하여 자체 권한 부여를 생성합니다.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId
:role/ExampleRole
"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}]
}
이전 예제Principal
의에 표시된 역할은 CreateApplication
및와 같은 AWS 메인프레임 현대화 작업에 사용하는 역할입니다CreateEnvironment
.
정책에서의 권한 지정에 대한 자세한 내용은 AWS Key Management Service
개발자 안내서를 참조하십시오.
키 액세스 문제 해결에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.
AWS 메인프레임 현대화를 위한 고객 관리 키 지정
다음 리소스를 암호화하기 위해 고객 관리형 키를 지정할 수 있습니다.
리소스를 생성할 때 KMS ID를 입력하여 키를 지정할 수 있습니다. KMS ID는 AWS Mainframe Modernization이 리소스에 저장된 민감한 데이터를 암호화하는 데 사용합니다.
AWS Management Console 또는를 사용하여 고객 관리형 키를 지정할 수 있습니다 AWS CLI.
에서 런타임 환경을 생성할 때 고객 관리형 키를 지정하려면 섹션을 AWS Management Console참조하세요AWS 메인프레임 현대화 런타임 환경 생성. 에서 애플리케이션을 생성할 때 고객 관리형 키를 지정하려면 섹션을 AWS Management Console참조하세요AWS Mainframe Modernization 애플리케이션 생성.
를 사용하여 런타임 환경을 생성할 때 고객 관리형 키를 추가하려면 다음과 같이 kms-key-id
파라미터를 AWS CLI지정합니다.
aws m2 create-environment —engine-type microfocus —instance-type M2.m5.large
--publicly-accessible —engine-version 7.0.3 —name test
--high-availability-config desiredCapacity=2
--kms-key-id myEnvironmentKey
를 사용하여 애플리케이션을 생성할 때 고객 관리형 키를 추가하려면 다음과 같이 kms-key-id
파라미터를 AWS CLI지정합니다.
aws m2 create-application —name test-application
—description my description
--engine-type microfocus
--definition content="$(jq -c . raw-template.json | jq -R)"
--kms-key-id myApplicationKey
AWS 메인프레임 현대화 암호화 컨텍스트
암호화 컨텍스트는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 페어 세트입니다.
AWS KMS 는 암호화 컨텍스트를 추가 인증 데이터로 사용하여 인증된 암호화를 지원합니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하면는 암호화 컨텍스트를 암호화된 데이터에 AWS KMS 바인딩합니다. 요청에 동일한 암호화 컨텍스트를 포함해야 이 데이터를 해독할 수 있습니다.
AWS 메인프레임 현대화 암호화 컨텍스트
AWS 메인프레임 현대화는 애플리케이션과 관련된 모든 암호화 작업(애플리케이션 생성 및 배포 생성)에서 동일한 암호화 컨텍스트를 사용합니다. 여기서 키는 AWS KMS aws:m2:app
이고 값은 애플리케이션의 고유 식별자입니다.
"encryptionContextSubset": {
"aws:m2:app": "a1bc2defabc3defabc4defabcd"
}
모니터링을 위한 암호화 컨텍스트 사용
대칭적인 고객 관리 키를 사용하여 애플리케이션 또는 런타임 환경을 암호화하는 경우 감사 레코드 및 로그의 암호화 컨텍스트를 사용하여 고객 관리 키가 사용되는 방식을 식별할 수도 있습니다.
암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어
그러나 암호화 컨텍스트를 사용하여 키 정책 및 IAM 정책에서 대칭 conditions
에 대한 액세스를 제어할 수도 있습니다. 또한 권한 부여에서 암호화 컨텍스트 제약 조건을 사용할 수 있습니다.
AWS 메인프레임 현대화는 권한 부여에 암호화 컨텍스트 제약 조건을 사용하여 계정 또는 리전의 고객 관리형 키에 대한 액세스를 제어합니다. 권한 부여 제약 조건에 따라 권한 부여가 허용하는 작업은 지정된 암호화 컨텍스트를 사용해야 합니다. 다음 예제는 AWS Mainframe Modernization이 애플리케이션을 생성할 때 애플리케이션 아티팩트를 암호화하는 데 활용하는 권한 부여입니다.
//This grant is retired immediately after create application finish
{
"grantee-principal": m2.us-west-2.amazonaws.com,
"retiring-principal": m2.us-west-2.amazonaws.com,
"operations": [
"GenerateDataKey"
]
"condition": {
"encryptionContextSubset": {
“aws:m2:app”: “a1bc2defabc3defabc4defabcd”
}
}
AWS 메인프레임 현대화를 위한 암호화 키 모니터링
AWS Mainframe Modernization 리소스와 함께 AWS KMS 고객 관리형 키를 사용하는 경우 AWS CloudTrail 또는 Amazon CloudWatch Logs를 사용하여 AWS Mainframe Modernization이 보내는 요청을 추적할 수 있습니다 AWS KMS.
런타임 환경의 예
다음 예제는 DescribeKey
, GenerateDataKey
, 및 CreateGrant
가 고객 관리형 키로 암호화된 데이터에 액세스Decrypt
하기 위해 AWS Mainframe Modernization에서 호출한 KMS 작업을 모니터링하는 AWS CloudTrail 이벤트입니다.
- DescribeKey
-
AWS 메인프레임 현대화는 DescribeKey
작업을 사용하여 런타임 환경과 연결된 AWS KMS 고객 관리형 키가 계정 및 리전에 존재하는지 확인합니다.
다음 예제 이벤트는 DescribeKey
작업을 기록합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T19:40:26Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-12-06T20:23:43Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.182",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
- CreateGrant
-
AWS KMS 고객 관리형 키를 사용하여 런타임 환경을 암호화하는 경우 AWS Mainframe Modernization은 사용자를 대신하여 필요한 KMS 작업을 수행하기 위해 여러 CreateGrant
요청을 보냅니다. AWS Mainframe Modernization이 생성하는 일부 권한 부여는 사용 직후 사용 중지됩니다. 런타임 환경을 삭제하면 사용 중지되는 것도 있습니다.
다음 예제 이벤트는 환경 생성 워크플로와 관련된 Lambda 실행 역할에 대한 CreateGrant
작업을 기록합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T20:11:45Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T20:23:09Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Encrypt",
"Decrypt",
"ReEncryptFrom",
"ReEncryptTo",
"GenerateDataKey",
"GenerateDataKey",
"DescribeKey",
"CreateGrant"
],
"granteePrincipal": "m2.us-west-2.amazonaws.com",
"retiringPrincipal": "m2.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
다음 예제 이벤트는 Auto Scaling 그룹 서비스 연결 역할의 CreateGrant
작업을 기록합니다. 환경 생성 워크플로와 관련된 Lambda 실행 역할이 이 CreateGrant
작업을 직접적으로 호출합니다. 실행 역할에 Auto Scaling 그룹의 서비스 연결 역할에 대해 서브그랜트를 생성할 수 있는 권한을 부여합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3YPCLM65MZFUPM4JO:EnvironmentWorkflow-alpha-CreateEnvironmentLambda7-HfxDj5zz86tr",
"arn": "arn:aws:sts::111122223333:assumed-role/EnvironmentWorkflow-alpha-CreateEnvironmentLambdaS-1AU4A8VNQEEKN/EnvironmentWorkflow-alpha-CreateEnvironmentLambda7-HfxDj5zz86tr",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:iam::111122223333:role/EnvironmentWorkflow-alpha-CreateEnvironmentLambdaS-1AU4A8VNQEEKN",
"accountId": "111122223333",
"userName": "EnvironmentWorkflow-alpha-CreateEnvironmentLambdaS-1AU4A8VNQEEKN"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T20:22:28Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-12-06T20:23:09Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "54.148.236.160",
"userAgent": "aws-sdk-java/2.18.21 Linux/4.14.255-276-224.499.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.14.1+10-LTS Java/11.0.14.1 vendor/Amazon.com_Inc. md/internal exec-env/AWS_Lambda_java11 io/sync http/Apache cfg/retry-mode/legacy",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Encrypt",
"Decrypt",
"ReEncryptFrom",
"ReEncryptTo",
"GenerateDataKey",
"GenerateDataKey",
"DescribeKey",
"CreateGrant"
],
"granteePrincipal": "m2.us-west-2.amazonaws.com",
"retiringPrincipal": "m2.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
}
}
}
- GenerateDataKey
-
런타임 환경 리소스에 대해 AWS KMS 고객 관리형 키를 활성화하면 Auto Scaling은 런타임 환경과 연결된 Amazon EBS 볼륨을 암호화하기 위한 고유한 키를 생성합니다. 리소스에 대한 AWS KMS 고객 관리 AWS KMS 형 키를 지정하는 GenerateDataKey
요청을에 보냅니다.
다음 예제 이벤트는 GenerateDataKey
작업을 기록합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3YPCLM65EEXVIEH7D:AutoScaling",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForAutoScaling/AutoScaling",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling",
"accountId": "111122223333",
"userName": "AWSServiceRoleForAutoScaling"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T20:23:16Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "autoscaling.amazonaws.com"
},
"eventTime": "2022-12-06T20:23:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "autoscaling.amazonaws.com",
"userAgent": "autoscaling.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:ebs:id": "vol-080f7a32d290807f3"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"numberOfBytes": 64
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
- Decrypt
-
암호화된 런타임 환경에 액세스하는 경우 Amazon EBS는 저장된 암호화된 데이터 키를 사용하여 암호화된 데이터에 액세스하는 Decrypt
작업을 직접적으로 호출합니다.
다음 예제 이벤트는 Decrypt
작업을 기록합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ebs.amazonaws.com"
},
"eventTime": "2022-12-06T20:23:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "ebs.amazonaws.com",
"userAgent": "ebs.amazonaws.com",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:ebs:id": "vol-080f7a32d290807f3"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
애플리케이션 예제
다음 예제는 고객 관리형 키로 암호화된 데이터에 액세스GenerateDataKey
하기 위해 AWS Mainframe Modernization에서 호출한 KMS 작업을 모니터링하기 위한 CreateGrant
및 AWS CloudTrail 이벤트입니다.
- CreateGrant
-
AWS KMS 고객 관리형 키를 사용하여 애플리케이션 리소스를 암호화하면 Lambda 실행 역할이 사용자를 대신하여 AWS 계정의 KMS 키에 액세스하라는 CreateGrant
요청을 보냅니다. 권한을 부여하면 Lambda 실행 역할이 고객 관리 키를 사용하여 고객 애플리케이션 리소스를 Amazon S3에 업로드할 수 있습니다. 이 권한 부여는 애플리케이션이 생성된 후 즉시 사용 중지됩니다.
다음 예제 이벤트는 CreateGrant
작업을 기록합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T21:51:45Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T22:47:04Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:m2:app": "a1bc2defabc3defabc4defabcd"
}
},
"retiringPrincipal": "m2.us-west-2.amazonaws.com",
"operations": [
"GenerateDataKey"
],
"granteePrincipal": "m2.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
- GenerateDataKey
-
애플리케이션 리소스에 대해 AWS KMS 고객 관리형 키를 활성화하면 Lambda 실행 역할은 고객 데이터를 암호화하고 Amazon Simple Storage Service에 업로드하는 데 사용하는 키를 생성합니다. Lambda 실행 역할은 리소스에 대한 AWS KMS 고객 관리 AWS KMS 형 키를 지정하는 GenerateDataKey
요청을에 보냅니다.
다음 예제 이벤트는 GenerateDataKey
작업을 기록합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3YPCLM65CLCEKKC7Z:ApplicationWorkflow-alpha-CreateApplicationVersion-CstWZUn5R4u6",
"arn": "arn:aws:sts::111122223333:assumed-role/ApplicationWorkflow-alpha-CreateApplicationVersion-1IZRBZYDG20B/ApplicationWorkflow-alpha-CreateApplicationVersion-CstWZUn5R4u6",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:iam::111122223333:role/ApplicationWorkflow-alpha-CreateApplicationVersion-1IZRBZYDG20B",
"accountId": "111122223333",
"userName": "ApplicationWorkflow-alpha-CreateApplicationVersion-1IZRBZYDG20B"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T23:28:32Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T23:29:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:m2:app": "a1bc2defabc3defabc4defabcd",
"aws:s3:arn": "arn:aws:s3:::supernova-processedtemplate-111122223333-us-west-2/111122223333/a1bc2defabc3defabc4defabcd/1/cics-transaction/ZBNKE35.so"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
배포 예시
다음 예제는 고객 관리형 키로 암호화된 데이터에 액세스Decrypt
하기 위해 AWS Mainframe Modernization에서 호출한 KMS 작업을 모니터링하기 위한 CreateGrant
및 AWS CloudTrail 이벤트입니다.
- CreateGrant
-
AWS KMS 고객 관리형 키를 사용하여 배포 리소스를 암호화하는 경우 AWS 메인프레임 현대화는 사용자를 대신하여 두 개의 CreateGrant
요청을 보냅니다. 첫 번째 권한 부여는 ListBatchJobScriptFiles를 직접적으로 호출하기 위한 현재 Lambda 실행 역할을 대상으로 하며, 배포가 완료되면 즉시 사용 중지됩니다. 두 번째 허가는 Amazon EC2가 Amazon S3에서 고객 애플리케이션 리소스를 다운로드할 수 있도록 범위를 좁힌 Amazon EC2 인스턴스 역할에 대한 것입니다. 이 부여는 애플리케이션이 런타임 환경에서 삭제되면 사용 중지됩니다.
다음 예제 이벤트는 CreateGrant
작업을 기록합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T21:51:45Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T23:40:07Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"operations": [
"Decrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:m2:app": "a1bc2defabc3defabc4defabcd"
}
},
"granteePrincipal": "m2.us-west-2.amazonaws.com",
"retiringPrincipal": "m2.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
- Decrypt
-
배포에 액세스하면 Amazon EC2가 Decrypt
작업을 직접적으로 호출하여 저장된 암호화된 데이터 키를 사용하여 Amazon S3에서 암호화된 고객 데이터를 복호화하고 다운로드합니다.
다음 예제 이벤트는 Decrypt
작업을 기록합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA3YPCLM65BSPZ37E6G:m2-hm-bqe367dxtfcpdbzmnhfzranisu",
"arn": "arn:aws:sts::111122223333:assumed-role/SupernovaEnvironmentInstanceScopeDownRole/m2-hm-bqe367dxtfcpdbzmnhfzranisu",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:iam::111122223333:role/SupernovaEnvironmentInstanceScopeDownRole",
"accountId": "111122223333",
"userName": "SupernovaEnvironmentInstanceScopeDownRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-12-06T23:19:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "m2.us-west-2.amazonaws.com"
},
"eventTime": "2022-12-06T23:40:15Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "m2.us-west-2.amazonaws.com",
"userAgent": "m2.us-west-2.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:m2:app": "a1bc2defabc3defabc4defabcdm",
"aws:s3:arn": "arn:aws:s3:::supernova-processedtemplate-111122223333-us-west-2/111122223333/a1bc2defabc3defabc4defabcdm/1/cics-transaction/BBANK40P.so"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
자세히 알아보기
다음 리소스에서 키에 대한 추가 정보를 확인할 수 있습니다.
전송 중 암호화
트랜잭션 워크로드의 일부인 대화형 애플리케이션의 경우 TN3270 프로토콜을 위한 터미널 에뮬레이터와 AWS Mainframe Modernization 서비스 엔드포인트 간의 데이터 교환은 전송 중에 암호화되지 않습니다. 애플리케이션에 전송 중 암호화가 필요한 경우 몇 가지 추가 터널링 메커니즘을 구현하는 것이 좋습니다.
AWS 메인프레임 현대화는 HTTPS를 사용하여 서비스 APIs. AWS Mainframe Modernization 내의 다른 모든 통신은 서비스 VPC 또는 보안 그룹과 HTTPS로 보호됩니다. AWS Mainframe Modernization은 애플리케이션 아티팩트, 구성 및 애플리케이션 데이터를 전송합니다. 애플리케이션 객체는 애플리케이션 데이터와 마찬가지로 사용자가 소유한 Amazon S3 버킷에서 복사됩니다. Amazon S3에 대한 링크를 사용하거나 파일을 로컬로 업로드하여 애플리케이션 구성을 제공할 수 있습니다.
전송 중 기본 암호화는 기본적으로 구성되지만 TN3270 프로토콜에는 적용되지 않습니다. AWS 메인프레임 현대화는 기본적으로 구성된 API 엔드포인트에 HTTPS를 사용합니다.