Amazon Web Services 한국 블로그

암호화 된 EBS Snapshot의 계정간 복사 기능 제공

AWS는 Amazon Elastic Block Store (EBS) 볼륨과 스냅샷 암호화를 지원하고 AWS Key Management Service (KMS)에 의해 암호화 키 보관 및 관리가 가능합니다. 또한, 다른 AWS 계정에 EBS 스냅샷 복사를 지원하고, 스냅샷에서 새 볼륨을 생성 할 수 있습니다. 이어서 오늘은 암호화 된 EBS 스냅샷을 AWS 리전간에 이동할 수있는 유연성과 함께 계정간에 복사하는 기능이 추가되었습니다.

이러한 신규 기능은 아래 세 가지의 고객의 주요 베스트 프랙티스를 진행할 수 있습니다.

  1. 정기적으로 EBS 볼륨의 백업하기
  2. 운영 환경(dev, test, staging, and prod)마다 다중 AWS 계정 사용 가능
  3. 백업을 포함한 데이터 (보관 데이터) 암호화 수행

암호화 된 EBS 볼륨과 스냅샷
실제 이 기능을 직접 진행해 보겠습니다. 먼저 IAM 콘솔을 사용하여 암호화 키를 만듭니다.

암호화 키를 지정하여, 암호화 된 EBS 볼륨을 만듭니다. (다른 계정에 복사 할 경우, 사용자 지정 키를 이용해야합니다)

이제 암호화 된 EBS 볼륨을 만들 수 있습니다.

위에서 보시다시피, 이미 긴 볼륨 ID와 스냅샷 ID를 내 AWS 계정에서 사용하고 있습니다 (자세한 정보는 They’re Here – Longer EBS and Storage Gateway Resource IDs Now Available을 참고하십시오.)

계정간 복사
지금 부터 새로운 기능에 대해 소개해드리겠습니다. 다른 계정에 암호화 된 EBS 스냅 샷 복사본을 만들려면, 네 가지 간단한 단계를 수행해야합니다 :

  • 스냅 샷에 연결된 사용자 지정 키를 다른 계정과 공유하기
  • 암호화 된 EBS 스냅 샷을 상대방 계정과 공유하기
  • 공유 할 계정에서 스냅 샷 복사본을 만들기
  • 새 볼륨을 생성하기 위해 작성한 복사본 이용하기

    위의 처음 두 단계를 수행하려면 공유할 계정 번호가 필요합니다. IAM 콘솔을 통해 공유할 계정에 사용자 지정 키 공유 여부를 확인합니다.

    암호화 된 EBS 스냅 샷을 공유합니다. 공유 스냅 샷을 선택하고 Modify Permissions을 클릭합니다.

    공유 대상 계정 번호를 입력하고 Save를 클릭합니다.

    암호화 된 스냅 샷을 공개 할 수 없음을 유의하시기 바랍니다.

    다음 단계로 넘어 가기 전에 권한에 대해 확인해 주시기 바랍니다. 아래에 필요한 권한 정책 및 역할을 설정하기 위해 주의할 사항을 알려드립니다.

    Source Account (스냅 샷 공유 원래 계정) – 공유 원래 계정의 IAM 사용자 역할은 ModifySnapshotAttribute 함수를 호출 할 수 있어야하며, 원래의 스냅 샷과 연관된 키에 대해 DescribeKeyReEncypt 작업을 수행할 수 있어야 합니다.

    Target Account (스냅 샷 공유 계정) – 공유 할 계정의 IAM 사용자 역할은 원래 스냅 샷과 연관된 키에 대해 DescribeKey, CreateGrantDecrypt 작업을 수행 할 수 있어야합니다. 또한, CopySnapshot 호출 할 때, 관련된 키에 대해 CreateGrant, Encrypt, Decrypt, DescribeKeyGenerateDataKeyWithoutPlaintext를 수행할 수 있어야 합니다.

    이제 관리 콘솔에서 공유할 계정으로 전환하면, Snapshots탭에서 Private Snapshots을 클릭합니다. 스냅샷 ID (스냅 샷 이름은 태그로 저장되지만 복사되지 않음)를 통해 공유 된 스냅 샷을 확인한 후, 체크 박스에서 선택하고 Action에서 Copy를 선택합니다.

    복사 된 스냅 샷에 사용되는 암호화 키를 선택합니다.(여기에서는 아시아 태평양 (도쿄) 리전에 스냅 샷을 복사합니다).

    복사 할 때, 새 키를 이용하여 두 계정 추가적인 분리 수준이 높아집니다. 복사 작업 중에 새 키를 사용하여 데이터를 다시 암호화됩니다.

    정식 출시
    이 기능은 AWS Key Management Service (KMS)가 사용 가능한 모든 리전에서 사용할 수 있습니다. 데이터 볼륨 루트 볼륨에서 사용할 수 있도록 설계되어 모든 볼륨 유형에서 사용할 수 있지만, 현시점에서는 암호화 된 AMI를 공유하기 위해 사용하는 것은 불가능합니다. 스냅 샷을 복사하여 새 이미지로 등록하여 스냅 샷을 이용하여 암호화 된 부팅 볼륨을 만들 수 있습니다.

    Jeff

    이 글은 New – Cross-Account Copying of Encrypted EBS Snapshots의 한국어 번역입니다.