EBS 볼륨에 대한 기본 암호화 선택 기능 출시 (서울 리전 포함)
AWS는 데이터 보호에 대한 다양한 옵션을 제공하고 있습니다. 클라우드 보안, 보안 블로그, 보안 백서와 같은 자세한 정보와 함께 보안, 자격 증명 및 규정 준수 서비스 및 개별 서비스 내의 다양한 보안 기능을 포함하는 여러 가지 방법으로 이들의 작업을 확인할 수 있습니다.
이 블로그를 읽다 보면 기억이 나시겠지만 많은 AWS 서비스가 저장 및 전송 데이터 암호화, 로깅, IAM 역할 및 정책 등을 지원합니다.
EBS 볼륨 기본 암호화
오늘은 Amazon Elastic Block Store(EBS) 볼륨 암호화를 더 쉽게 사용할 수 있도록 하는 새로운 기능에 대해 알려드리려고 합니다. 이번 출시는 다음과 같은 이전의 몇몇 EBS 보안 출시를 기반으로 합니다.
이제 새로 생성하는 모든 EBS 볼륨을 암호화된 형태로 생성하도록 지정할 수 있으며 AWS가 제공하는 기본 키를 사용하거나 사용자가 직접 생성하는 키를 사용하도록 선택할 수 있습니다. 암호 키 및 EC2 설정은 개별 AWS 리전에 특정되므로 리전 별로 선택해야 합니다.
신규 암호화 기능을 사용하면 새로 생성하는 볼륨을 쉽고 간단하게 암호화된 형태로 생성하여 보호 및 규정 준수 목표에 도달할 수 있습니다. 암호화되지 않은 기존 볼륨은 영향을 받지 않습니다.
암호화된 볼륨이 필요한 IAM 정책을 사용하는 경우 이 기능을 사용하면 인스턴스를 시작할 때 암호화되지 않은 볼륨이 실수로 참조됨으로써 발생하는 시작 실패를 방지할 수 있습니다. 보안 팀은 개발 팀과의 조정 작업 없이 기본적으로 암호화를 활성화할 수 있으며 다른 코드 또는 작업 변경이 필요하지 않습니다.
암호화된 EBS 볼륨은 지정된 인스턴스 처리량, 볼륨 성능 및 지연 시간을 추가 요금 없이 제공합니다. EC2 콘솔을 열고 원하는 리전에 있는지 확인한 후 [Settings]를 눌러 시작합니다.
[Always encrypt new EBS volumes]를 선택합니다.
[Change the default key]를 클릭하고 보유한 키 중 하나를 기본값으로 선택할 수 있습니다.
무엇을 선택하든 [Update]를 클릭하여 계속합니다. 참고로 이 설정은 단일 AWS 리전에 적용됩니다. 원하는 각 리전에 대해 옵션을 선택하고 키를 선택하는 위의 단계를 반복해야 합니다.
앞으로 이 리전에서 생성하는 모든 EBS 볼륨은 추가 작업 없이 암호화됩니다. 볼륨을 생성할 때 [EC2 Settings]에서 선택한 키를 사용하거나 다른 키를 선택할 수 있습니다.
생성하는 모든 스냅샷은 볼륨을 암호화할 때 사용한 키로 암호화됩니다.
볼륨을 사용하여 스냅샷을 생성하는 경우 원래 키를 사용하거나 다른 키를 선택할 수 있습니다.
주요 사항
다음은 이 중요하고 새로운 AWS 기능에 대해 알아야 할 몇 가지 중요한 정보입니다.
- 이전 인스턴스 유형 – 이 기능을 실행한 후에는 추가 C1, M1, M2 또는 T1 인스턴스를 시작하거나 새로 암호화된 EBS 볼륨을 이러한 유형의 기존 인스턴스에 연결할 수 없습니다. 따라서 최신 인스턴스 유형으로 마이그레이션하는 것이 좋습니다.
- AMI 공유 – 위에서 언급했듯이 최근에 AWS는 암호화된 AMI를 다른 AWS 계정과 공유할 수 있는 기능을 출시했습니다. 그러나 이러한 AMI를 공개적으로 공유할 수는 없으며 커뮤니티 AMI, Marketplace AMI 및 퍼블릭 스냅샷을 생성하려면 개별 계정을 사용해야 합니다. 자세한 내용은 전체 계정에서 암호화된 AMI를 공유하여 암호화된 EC2 인스턴스를 시작하는 방법을 참조하십시오.
- 다른 AWS 서비스 – Amazon Relational Database Service(RDS) 및 Amazon WorkSpaces와 같이 EBS를 스토리지로 사용하는 AWS 서비스는 자체 암호화 및 키 관리를 수행하며 이 출시의 영향을 받지 않습니다. Amazon EMR과 같이 계정 내에 볼륨을 생성하는 서비스는 자동으로 암호화 설정을 따르며 상시 암호화 기능이 활성화된 경우 암호화된 볼륨을 사용합니다.
- API/CLI 액세스 – EC2 CLI 및 API에서도 이 기능에 액세스할 수 있습니다.
- 무료 – 암호화를 활성화하거나 사용하기 위한 요금은 없습니다. 암호화된 AMI를 사용하고 각 AWS 계정에 대한 개별 AMI를 생성하는 경우 이제 AMI를 다른 계정과 공유할 수 있으므로 스토리지 사용률 및 요금이 절감됩니다.
- 리전 기준 – 위에서 설명했듯이 리전별로 기본 암호화를 선택할 수 있습니다.
정식 출시
이 기능은 지금 이용 가능하며 모든 퍼블릭 AWS 리전 및 GovCloud에서 오늘부터 사용을 시작할 수 있습니다. (단, 중국 AWS 리전에서는 제공되지 않습니다.)
— Jeff;