Amazon MWAA에서 암호화 - Amazon Managed Workflows for Apache Airflow
저장된 데이터 암호화전송 중 암호화

Amazon MWAA에서 암호화

다음 주제는 Amazon MWAA에서 저장 데이터와 전송 중인 데이터를 보호하는 방법을 설명합니다. 이 정보를 사용하여 Amazon MWAA가 AWS KMS와 통합하여 저장 데이터를 암호화하는 방법과 전송 중에 Transport Layer Security(TLS) 프로토콜을 사용하여 데이터를 암호화하는 방법을 알아봅니다.

저장된 데이터 암호화

Amazon MWAA에서 저장 데이터는 서비스가 영구 매체에 저장하는 데이터입니다.

저장 데이터 암호화를 위해 AWS 소유 키를 사용하거나, 선택적으로 환경을 만들 때 추가 암호화를 위해 고객 관리형 키를 제공할 수도 있습니다. 고객 관리형 KMS 키를 사용하기로 선택한 경우, 해당 키는 해당 환경에서 사용 중인 다른 AWS 리소스 및 서비스와 동일한 계정에 있어야 합니다.

고객 관리형 KMS 키를 사용하려면 CloudWatch 액세스에 필요한 정책 설명을 키 정책에 연결해야 합니다. 사용자 환경에 고객 관리형 KMS 키를 사용하는 경우, Amazon MWAA는 사용자를 대신하여 4가지 권한을 부여합니다. Amazon MWAA에서 고객 관리형 KMS 키에 연결하는 권한에 대한 자세한 내용은 데이터 암호화를 위한 고객 관리형 키를 참조하세요.

고객 관리형 KMS 키를 지정하지 않는 경우, Amazon MWAA는 기본 설정으로 AWS 소유 KMS 키를 사용하여 데이터를 암호화하고 복호화합니다. Amazon MWAA에서 데이터 암호화를 관리하려면 AWS 소유 KMS 키를 사용하는 것이 좋습니다.

참고

사용자는 Amazon MWAA에서 AWS 소유 또는 고객 관리형 KMS 키의 저장 및 사용에 대한 비용을 지불합니다. 자세한 내용은 AWS KMS 요금을 참조하세요.

암호화 아티팩트

Amazon MWAA 환경을 생성할 때는 AWS 소유 키 또는 고객 관리형 키를 지정하여 저장 중 암호화에 사용되는 암호화 아티팩트를 지정합니다. Amazon MWAA는 사용자가 지정한 키에 필요한 권한 부여를 추가합니다.

Amazon S3 - Amazon S3 데이터는 서버 측 암호화(SSE)를 이용하여 객체 수준에서 암호화됩니다. Amazon S3 암호화 및 복호화는 DAG 코드 및 지원 파일이 저장되는 Amazon S3 버킷에서 수행됩니다. 객체는 Amazon S3에 업로드될 때 암호화되고 Amazon MWAA 환경에 다운로드될 때 복호화됩니다. 고객 관리형 KMS 키를 사용하는 경우, Amazon MWAA는 기본 설정으로 이 키를 사용하여 Amazon S3 버킷의 데이터를 읽고 해독합니다.

CloudWatch Logs - AWS 소유 KMS 키를 사용할 경우, CloudWatch Logs로 전송되는 Apache Airflow 로그는 CloudWatch Logs의 AWS 소유 KMS 키와 함께 SSE를 이용하여 암호화됩니다. 고객 관리 KMS 키를 사용하는 경우, KMS 키에 키 정책을 추가하여 CloudWatch Logs에서 이 키를 사용할 수 있게 해주어야 합니다.

Amazon SQS - Amazon MWAA는 사용자 환경을 위해 하나의 Amazon SQS 대기열을 생성합니다. Amazon MWAA는 AWS 소유 KMS 키 또는 사용자가 지정한 고객 관리형 KMS 키와 함께 SSE를 이용하여 대기열과 주고받는 데이터를 암호화합니다. AWS 소유 KMS 키를 사용하든 고객 관리형 KMS 키를 사용하든 관계없이 실행 역할에 Amazon SQS 권한을 추가해 주어야 합니다.

Aurora PostgreSQL - Amazon MWAA는 사용자 환경에 맞는 PostgreSQL 클러스터 하나를 생성합니다. Aurora PostgreSQL은 SSE를 사용하여 AWS 소유 또는 고객 관리형 KMS 키로 콘텐츠를 암호화합니다. 고객 관리형 KMS 키를 사용하는 경우, Amazon RDS는 이 키에 최소 두 가지 권한(클러스터용과 데이터베이스 인스턴스용)을 추가합니다. 고객 관리형 KMS 키를 여러 환경에서 사용하기로 선택한 경우, Amazon RDS에서 추가 권한을 부여할 수 있습니다. 자세한 내용은 Amazon RDS의 데이터 보호를 참조하세요.

전송 중 암호화

전송 중 데이터는 네트워크를 통해 이동할 때 도청당할 수 있는 데이터로 칭하기도 합니다.

전송 계층 보안(TLS)는 사용자 환경의 Apache Airflow 구성 요소와 Amazon MWAA에 통합되는 다른 AWS 서비스(예: Amazon S3) 간에 전송되는 Amazon MWAA 객체를 암호화합니다. Amazon S3 암호화에 대한 자세한 내용은 암호화를 사용한 데이터 보호를 참조하세요.