기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 데이터 암호화
<a name="security-data-encryption"></a>

다음 정보는 Amazon Rekognition에서 데이터 암호화를 사용하여 데이터를 보호하는 방법을 설명합니다.

## 저장 시 암호화
<a name="security-data-encryption-at-rest"></a>

### Amazon Rekognition Image
<a name="security-ear-rekognition-image"></a>

#### 이미지
<a name="security-image-ear-images"></a>

Amazon Rekognition API 작업으로 전달된 이미지는 저장되어 서비스를 개선하는 데 사용될 수 있습니다. 단, [AI 서비스 옵트아웃 정책 페이지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)를 방문하여 거기에 설명된 프로세스에 따라 옵트아웃한 경우는 예외입니다. 저장된 이미지는 AWS Key Management Service(SSE-KMS)를 사용하여 저장 시 암호화(Amazon S3)됩니다.

#### 컬렉션
<a name="security-ear-face-comparison-collections"></a>

컬렉션에 정보를 저장하는 얼굴 비교 작업의 경우 기본 감지 알고리즘은 먼저 입력 이미지에서 얼굴을 감지하고 각 얼굴에 대한 벡터를 추출한 다음 얼굴 벡터를 컬렉션에 저장합니다. Amazon Rekognition은 얼굴 비교를 수행할 때 이러한 얼굴 벡터를 사용합니다. 얼굴 벡터는 부동 소수점의 배열로 저장되고 저장 시 암호화됩니다.

### Amazon Rekognition Video
<a name="security-ear-rekognition-video"></a>

#### 비디오
<a name="security-video-ear-videos"></a>

 비디오를 분석하기 위해 Amazon Rekognition은 처리할 비디오를 서비스에 복사합니다. 비디오는 저장되어 서비스를 개선하는 데 사용될 수 있습니다. 단, [AI 서비스 옵트아웃 정책 페이지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)를 방문하여 거기에 설명된 프로세스에 따라 옵트아웃한 경우는 예외입니다. 비디오는 AWS Key Management Service(SSE-KMS)를 사용하여 저장 시 암호화(Amazon S3)됩니다.

### Amazon Rekognition Custom Labels
<a name="security-ear-custom-labels"></a>

Amazon Rekognition Custom Labels는 저장 데이터를 암호화합니다.

#### 이미지
<a name="security-ear-cl-images"></a>

 모델을 학습시키기 위해 Amazon Rekognition Custom Labels는 소스 훈련 및 테스트 이미지의 사본을 만듭니다. 복사된 이미지는 AWS KMS key 사용자가 제공한 또는 AWS 소유 KMS 키를 사용한 서버 측 암호화를 사용하여 Amazon Simple Storage Service(S3)에서 저장 시 암호화됩니다. Amazon Rekognition Custom Labels는 대칭 KMS 키만 지원합니다. 소스 이미지는 영향을 받지 않습니다. 자세한 내용은 [Amazon Rekognition Custom Labels 모델 훈련](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/tm-train-model.html)을 참조하세요.

#### 모델
<a name="security-ear-cl-models"></a>

기본적으로 Amazon Rekognition Custom Labels는 AWS 소유 키를 사용한 서버 측 암호화로 Amazon S3 버킷에 저장된 학습된 모델 및 매니페스트 파일을 암호화합니다. 자세한 내용은 [서버 측 암호화를 사용하여 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)를 참조하십시오. 학습 결과는 [CreateProjectVersion](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateProjectVersion.html)의 `OutputConfig` 입력 파라미터에 지정된 버킷에 기록됩니다. 학습 결과는 버킷에 대해 구성된 암호화 설정(`OutputConfig`) 을 사용하여 암호화됩니다.

#### 콘솔 버킷
<a name="security-ear-cl-console"></a>

Amazon Rekognition Custom Labels 콘솔은 프로젝트를 관리하는 데 사용할 수 있는 Amazon S3 버킷(콘솔 버킷)을 생성합니다. 콘솔 버킷은 기본 Amazon S3 암호화를 사용하여 암호화됩니다. 자세한 내용을 알아보려면 [S3 버킷에 대한 Amazon Simple Storage Service 기본 암호화](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html)를 참조하세요. 자체 KMS 키를 사용하는 경우 콘솔 버킷을 생성한 후에 구성하십시오. 자세한 내용은 [서버 측 암호화를 사용하여 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)를 참조하십시오. Amazon Rekognition Custom Labels는 콘솔 버킷에 대한 퍼블릭 액세스를 차단합니다.

### Rekognition Face Liveness
<a name="security-ear-rekognition-liveness"></a>

Rekognition Face Liveness 서비스 계정에 저장된 모든 세션 관련 데이터는 저장 중 완전히 암호화됩니다. 기본적으로 참조 및 감사 이미지는 서비스 계정의 AWS 소유 키를 사용하여 암호화됩니다. 그러나 이러한 이미지를 암호화하기 위한 자체 AWS KMS 키를 제공하도록 선택할 수 있습니다.

## 전송 중 암호화
<a name="security-data-encryption-in-transit"></a>

Amazon Rekognition API 엔드포인트는 HTTPS를 통한 보안 연결만을 지원합니다. 모든 통신은 TLS(전송 계층 보안)를 통해 암호화됩니다.

## 키 관리
<a name="security-data-encryption-key-management"></a>

AWS Key Management Service(KMS)를 사용하여 Amazon S3 버킷에 저장하는 입력 이미지 및 비디오의 키를 관리할 수 있습니다. 자세한 내용은 [AWS Key Management Service 개념](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)을 참조하세요.

### Face Liveness를 위한 고객 관리형 키 암호화
<a name="security-data-encryption-key-management-liveness"></a>

[CreateFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateFaceLivenessSession.html) API는 선택적 `KmsKeyId` 파라미터를 수용합니다. 계정에 생성한 KMS 키의 `id`를 제공할 수 있습니다. 이 키는 [StartFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_StartFaceLivenessSession.html) API 중에 가져온 참조 및 감사 이미지를 암호화하는 데 사용되며 [GetFaceLivenessSessionResults](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_GetFaceLivenessSessionResults.html) API 중에는 결과를 반환하기 전에 이 키를 사용하여 이미지를 복호화합니다. CreateFaceLivenessSession 요청에 OutputConfig이 포함된 경우 참조 및 감사 이미지는 지정된 Amazon S3 경로에 업로드됩니다. Amazon S3 버킷에서 서버 측 암호화([SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html))를 활성화하여 저장된 데이터가 계속 암호화된 상태로 유지되도록 하는 것이 좋습니다.

자체 AWS KMS 키 ID를 제공하면 Rekognition Face Liveness 서비스는 APIs. 고객 백엔드(`CreateFaceLivenessSession` 및 `GetFaceLivenessSessionResults` API)에서 API를 간접 호출하는 데 사용되는 보안 주체(사용자 또는 역할)는 다음을 수행할 수 있는 액세스 권한이 있어야 합니다.
+ kms:DescribeKey
+ kms:GenerateDataKey
+ kms:Decrypt