KMS ๊ธฐ๋ฐ Envelope Encryption์ ํตํ ๋์ฉ๋ ๋ฐ์ดํฐ ๋ณด์ ์ค๊ณ
Implement Encryption By Using AWS Services | ๐๏ธ Create A KMS Customer Managed Key
AI ์์ฝ
Context
AWS ์๋น์ค ์ ๋ฐ์์ ๋ฐ์ดํฐ ๋ณดํธ๋ฅผ ์ํด Encryption at Rest ๋ฐ In Transit ๊ตฌํ ํ์์ฑ ์ฆ๋. ํนํ KMS์ ์ง์ ์ํธํ ์ฉ๋ ์ ํ์ธ 4 KB๋ฅผ ์ด๊ณผํ๋ ๋์ฉ๋ ๋ฐ์ดํฐ ์ฒ๋ฆฌ ์์ ์ํคํ ์ฒ์ ํ๊ณ ์กด์ฌ.
Technical Solution
- 4 KB ์ด๊ณผ ๋ฐ์ดํฐ ์ฒ๋ฆฌ๋ฅผ ์ํด Data Key๋ฅผ ์์ฑํ์ฌ ๋ฐ์ดํฐ๋ฅผ ์ํธํํ๊ณ Key ์์ฒด๋ฅผ ๋ค์ ์ํธํํ๋ Envelope Encryption ๊ตฌ์กฐ ์ฑํ
- S3 ์ ์ฅ ์ ๊ด๋ฆฌ ํธ์์ฑ์ ์ํ SSE-S3, ๊ฐ์ฌ ์ถ์ ๋ฐ ์ ์ด๊ถ ํ๋ณด๋ฅผ ์ํ SSE-KMS, ๊ณ ๊ฐ ์ง์ ํค ๊ด๋ฆฌ๋ฅผ ์ํ SSE-C ์ต์ ์ ์ ๋ต์ ๋ถ๋ฆฌ
- ๋ฐ์ดํฐ ๋ฌด๊ฒฐ์ฑ๊ณผ ๊ฐ์ฉ์ฑ ํ๋ณด๋ฅผ ์ํด Key ID ๋ณ๊ฒฝ ์์ด Key Material๋ง ๊ต์ฒดํ๋ Automatic Key Rotation ์ ์ฉ
- ์ธํ๋ผ ๊ฐ ์ธ์ฆ ๋ณด์ ๊ฐํ๋ฅผ ์ํด ACM์ ํตํ Public SSL/TLS ์ธ์ฆ์ ์๋ ๊ฐฑ์ ๋ฐ ๋ฐฐํฌ ๊ตฌ์กฐ ์ค๊ณ
- Client-Side Encryption ๋์ ์ ํตํด ์คํ ๋ฆฌ์ง ๊ณ์ธต์ ๋ํ ์ ๋ขฐ๊ฐ ๋ฎ์ ํ๊ฒฝ์์ ๋ฐ์ดํฐ ์ ์ก ์ ์ํธํ ์ํ
์ค์ฒ ํฌ์ธํธ
1. 4 KB ์ด์์ ๋ฐ์ดํฐ ์ํธํ ์ AWS Encryption SDK๋ฅผ ํตํ Envelope Encryption ์ ์ฉ ๊ฒํ
2. ๊ฐ์ฌ ์ถ์ ์ด ํ์ํ ์ค์ ๋ฐ์ดํฐ์ ๊ฒฝ์ฐ SSE-S3 ๋์ SSE-KMS์ CloudTrail ์ฐ๋ ๊ตฌ์ฑ
3. ํค ๊ต์ฒด ์ ์ ํ๋ฆฌ์ผ์ด์ ์ฝ๋ ์์ ์ ๋ฐฉ์งํ๊ธฐ ์ํด KMS Alias ๊ธฐ๋ฐ์ ์ถ์ํ ๊ณ์ธต ์ด์ฉ
4. ํผ๋ธ๋ฆญ ์๋น์ค์ ์ธ์ฆ์ ๊ด๋ฆฌ๋ ACM์ ์๋ ๊ฐฑ์ ๊ธฐ๋ฅ์ ํ์ฉํ์ฌ ์ด์ ๊ณต์ ์ ๊ฑฐ