Amazon MSF에서 고객 관리형 키 사용 - Managed Service for Apache Flink

Amazon Managed Service for Apache Flink(Amazon MSF)는 이전에 Amazon Kinesis Data Analytics for Apache Flink로 알려져 있었습니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon MSF에서 고객 관리형 키 사용

CMK 정책이 적용되는 Amazon MSF 애플리케이션을 구축, 관리, 운영할 때는 다음 요소를 고려해야 합니다.

고객 관리형 키

이는 키 정책키 구성 요소를 의미합니다. 실행 중 애플리케이션 스토리지와 내구성 애플리케이션 스토리지에 있는 애플리케이션 상태를 암호화하는 데 사용할 키를 생성해야 합니다.

애플리케이션 수명 주기 연산자(API 호출자)

이는 Operator IAM 사용자 또는 역할을 의미합니다. 는 사람이 될 수도 있고 Amazon MSF 애플리케이션을 생성, 배포, 실행하는 CI/CD 파이프라인과 같은 자동화일 수도 있습니다. 애플리케이션 수명 주기 연산자는 IAM 역할 또는 사용자 중 하나일 수 있습니다.

참고

키 관리자와 연산자가 동일할 수 있습니다. 이 경우에도 항상 별도의 역할 또는 사용자를 사용하는 것을 권장합니다.

애플리케이션

이는 사용자가 생성하는 Amazon MSF 애플리케이션입니다. 애플리케이션 실행(IAM) 역할은 CMK를 사용하는 데 별도의 변경이 필요하지 않습니다. Amazon MSF의 IAM에 관한 자세한 내용은 Amazon Managed Service for Apache Flink의 자격 증명 및 액세스 관리 섹션을 참조하세요.

정책 간 종속성

CMK에 지정된 키 정책과 애플리케이션 수명 주기 연산자의 권한을 정의하는 IAM 정책 간에는 상호 종속성이 있습니다. 다음 순서로 정책을 생성하는 것이 좋습니다.

  • CMK 권한을 정의하는 IAM 정책 없이 연산자 IAM 사용자 또는 역할을 생성합니다. 연산자는 AOK로 애플리케이션을 생성합니다.

  • KMS 키를 관리할 수 있는 권한을 가진 키 관리자를 생성합니다. 키 관리자는 CMK를 생성합니다. 키 정책에는 연산자 및 관리자 역할의 ARN과 애플리케이션 ARN이 참조됩니다. 자세한 내용은 KMS 키 정책 생성 단원을 참조하십시오.

  • 애플리케이션의 CMK를 관리할 수 있도록 연산자를 위한 IAM 정책을 생성합니다. 자세한 내용은 애플리케이션 수명 주기 연산자(API 호출자) 권한 단원을 참조하십시오. 새 IAM 정책을 연산자에 연결합니다. 연산자는 CMK를 사용하도록 애플리케이션을 업데이트합니다. 자세한 내용은 기존 애플리케이션을 CMK 사용으로 업데이트 단원을 참조하십시오.

애플리케이션이 존재하지 않는 경우 CMK 없이 애플리케이션을 생성합니다.

다음 그림은 Amazon MSF에서 CMK가 어떻게 구현되는지 보여줍니다.

Amazon MSF에서 고객 관리형 키 구현.

  1. 고객 관리형 키(CMK): 키 정책과 키 구성 요소를 포함합니다.

  2. 키 관리자: KeyAdmin IAM 사용자 또는 역할입니다.

  3. 애플리케이션 수명 주기 연산자(API 호출자): 연산자 IAM 사용자 또는 역할입니다.

  4. 애플리케이션: 실행(IAM) 역할이 연결되어 있습니다.