기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon OpenSearch Service의 저장된 데이터 암호화
<a name="encryption-at-rest"></a>

OpenSearch Service 도메인은 저장된 데이터 암호화, 데이터 무단 액세스를 방지하는 보안 기능을 제공합니다. 이 기능은 AWS Key Management Service (AWS KMS)를 사용하여 암호화 키를 저장하고 관리하며 고급 암호화 표준 알고리즘을 256비트 키(AES-256)와 함께 사용하여 암호화를 수행합니다. 활성화된 경우 이 기능은 다음과 같은 도메인 측면을 암호화합니다.
+ 모든 인덱스(UltraWarm 스토리지의 인덱스 포함)
+ OpenSearch 로그
+ 전환 파일
+ 애플리케이션 디렉터리의 모든 기타 데이터
+ 자동 스냅샷

저장된 데이터 암호화를 활성화할 때 다음은 암호화되지 *않지만* 추가 단계를 수행하여 보호할 수 있습니다.
+ 수동 스냅샷: 현재 AWS KMS 키를 사용하여 수동 스냅샷을 암호화할 수 없습니다. 그러나 스냅샷 리포지토리로 사용하는 버킷을 암호화하기 위해 S3 관리형 키로 서버 측 암호화를 사용할 수 있습니다. 지침은 [수동 스냅샷 리포지토리 등록](managedomains-snapshot-registerdirectory.md) 섹션을 참조하세요.
+ 느린 로그 및 오류 로그: [로그를 게시](createdomain-configure-slow-logs.md)하고 암호화하려는 경우 OpenSearch Service 도메인과 동일한 AWS KMS 키를 사용하여 CloudWatch Logs 로그 그룹을 암호화할 수 있습니다. 자세한 내용은 *Amazon CloudWatch Logs 사용 설명서*의 [AWS Key Management Service를 사용하여 CloudWatch Logs에서 로그 데이터 암호화](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)를 참조하세요.

**참고**  
도메인에서 UltraWarm 또는 콜드 스토리지를 활성화한 경우 기존 도메인에서 저장된 암호화를 활성화할 수 없습니다. 먼저 UltraWarm 또는 콜드 스토리지를 비활성화하고 저장된 암호화를 활성화한 다음 UltraWarm 또는 콜드 스토리지를 다시 활성화해야 합니다. UltraWarm 또는 콜드 스토리지에 인덱스를 보존하려면 UltraWarm 또는 콜드 스토리지를 비활성화하기 전에 핫 스토리지로 인덱스를 이동해야 합니다.

OpenSearch Service는 비대칭이 아닌 대칭 암호화 KMS 키만 지원합니다. 대칭 키를 생성하는 방법은 *AWS Key Management Service 개발자 가이드*의 [KMS 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)을 참조하세요.

유휴 상태의 암호화가 사용되는지와 관계없이 AES-256 및 OpenSearch Service 관리형 키를 사용하여 모든 도메인이 자동으로 [사용자 지정 패키지](custom-packages.md)를 암호화합니다.

## 권한
<a name="permissions-ear"></a>

OpenSearch Service 콘솔을 사용하여 저장 데이터 암호화를 구성하려면 다음 자격 증명 기반 정책과 AWS KMS같은에 대한 읽기 권한이 있어야 합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:List*",
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}
```

------

 AWS 소유 키 이외의 키를 사용하려면 키에 대한 [권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)를 생성할 권한도 있어야 합니다. 이러한 권한은 보통 키를 만들 때 지정하는 리소스 기반 정책의 형식입니다.

키를 OpenSearch Service에만 적용하려면 해당 키 정책에 [kms:ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) 조건을 추가할 수 있습니다.

```
"Condition": {
  "StringEquals": {
    "kms:ViaService": "es.{{us-west-1}}.amazonaws.com"
  },
  "Bool": {
    "kms:GrantIsForAWSResource": "true"
  }
}
```

자세한 내용은AWS Key Management Service 개발자 안내서**의 [AWS KMS의 키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)을 참조하세요.

## 저장된 데이터 암호화 활성화
<a name="enabling-ear"></a>

새 도메인의 저장된 데이터 암호화에는 OpenSearch 또는 Elasticsearch 5.1 이상이 필요합니다. 기존 도메인에서 이 기능을 활성화하려면 OpenSearch 또는 Elasticsearch 6.7 이상이 필요합니다.

**저장된 데이터의 암호화를 활성화하려면(콘솔)**

1.  AWS 콘솔에서 도메인을 열고 **작업** 및 **보안 구성 편집**을 선택합니다.

1. **암호화** 아래에서 **저장된 데이터 암호화 활성화**를 선택하세요.

1. 사용할 AWS KMS 키를 선택한 다음 **변경 사항 저장**을 선택합니다.

구성 API를 통해 암호화를 활성화할 수도 있습니다. 다음 요청은 기존 도메인에 저장된 데이터의 암호화를 활성화합니다.

```
{
   "ClusterConfig":{
      "EncryptionAtRestOptions":{
         "Enabled": true,
         "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key"
      }
   }
}
```

## 사용 중지 또는 삭제된 KMS 키
<a name="disabled-key"></a>

도메인을 암호화하는 데 사용한 키를 사용 중지하거나 삭제하면 도메인에 액세스할 수 없게 됩니다. OpenSearch Service에서 KMS 키에 액세스할 수 없다는 [알림](managedomains-notifications.md)을 보냅니다. 도메인에 액세스하려면 즉시 키를 다시 사용 설정하세요.

OpenSearch Service 팀은 키가 삭제된 경우 데이터 복구를 지원할 수 없습니다.는 최소 7일의 대기 기간이 지난 후에만 키를 AWS KMS 삭제합니다. 키가 삭제 보류 중인 경우 삭제를 취소하거나 데이터 손실을 방지하기 위해 도메인의 [수동 스냅샷](managedomains-snapshots.md)을 생성합니다.

## 저장된 데이터 암호화 비활성화
<a name="disabling-ear"></a>

저장된 데이터를 암호화하기 위해 도메인을 구성한 후 설정을 비활성화할 수 없습니다. 대신 기존 도메인의 [수동 스냅샷](managedomains-snapshots.md)을 가져와 [다른 도메인을 생성](createupdatedomains.md#createdomains)하고, 데이터를 마이그레이션하며, 이전 도메인을 삭제할 수 있습니다.

## 저장된 데이터를 암호화하는 도메인 모니터링
<a name="monitoring-ear"></a>

저장된 데이터를 암호화하는 도메인에는 2개의 추가 지표 `KMSKeyError` 및 `KMSKeyInaccessible`이 있습니다. 이러한 지표는 도메인에 암호화 키 문제가 있을 때만 나타납니다. 이러한 지표에 대한 자세한 설명은 [클러스터 지표](managedomains-cloudwatchmetrics.md#managedomains-cloudwatchmetrics-cluster-metrics) 섹션을 참조하세요. OpenSearch Service 콘솔 또는 Amazon CloudWatch 콘솔을 사용하여 볼 수 있습니다.

**작은 정보**  
각 지표는 도메인과 관련된 중요한 문제를 나타내므로 모두를 위한 CloudWatch 경보를 생성하는 것이 좋습니다. 자세한 내용은 [Amazon OpenSearch Service에 권장되는 CloudWatch 경보](cloudwatch-alarms.md) 섹션을 참조하세요.

## 기타 고려 사항
<a name="ear-considerations"></a>
+ 자동 키 교체는 AWS KMS 키의 속성을 보존하므로 교체는 OpenSearch 데이터에 액세스하는 기능에 영향을 주지 않습니다. 암호화된 OpenSearch Service 도메인은 새로운 키를 생성하거나 이전 키에 대한 모든 참조를 업데이트하는 수동 키 교체를 지원하지 않습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS KMS 키 교체](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)를 참조하세요.
+ 특정 인스턴스 유형은 저장된 데이터의 암호화를 지원하지 않습니다. 자세한 내용은 [Amazon OpenSearch Service에서 지원되는 인스턴스 유형](supported-instance-types.md) 섹션을 참조하세요.
+ 저장된 데이터를 암호화하는 도메인의 경우 자동 스냅샷을 위해 다른 리포지토리 이름을 사용합니다. 자세한 내용은 [스냅샷 복원](managedomains-snapshot-restore.md) 단원을 참조하십시오.
+ 저장 시 암호화를 활성화하는 것이 좋지만 CPU 오버헤드와 지연 시간이 몇 밀리초만큼 추가될 수 있습니다. 그러나 대부분의 사용 사례는 이러한 차이에 민감하지 않으며, 클러스터, 클라이언트, 사용 프로필 구성에 따라 영향을 미치는 정도는 달라집니다.