암호화된 EBS 볼륨의 암호화를 해제하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 8월 20일

기본 AWS Key Management Service(KMS) CMK(고객 마스터 키) 또는 사용자 지정 CMK를 사용하여 암호화된 Amazon EBS(Amazon Elastic Block Store) 볼륨의 암호화를 해제하려고 합니다. 어떻게 해야 합니까?

간략한 설명

임시 Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스를 사용하여 암호화된 볼륨을 암호화되지 않은 새 볼륨으로 복사할 수 있습니다. 그런 다음 암호화되지 않은 볼륨을 원본 인스턴스에 연결할 수 있습니다.

​해결 방법

참고: 다음 해결 방식에서는 루트 볼륨을 예로 사용합니다. 보조 볼륨에서도 이러한 단계를 수행할 수 있습니다.

1.    암호화된 루트 볼륨의 스냅샷을 생성하거나 암호화된 볼륨이 있는 인스턴스의 AMI를 생성합니다. 주요 작업을 수행하기 전에 스냅샷 및 AMI를 사용하여 리소스에 대한 백업을 제공합니다.

2.    Amazon EC2 콘솔을 여십시오.

3.    암호화된 루트 볼륨이 있는 인스턴스를 중지합니다.

4.    설명(Description) 탭의 루트 디바이스(Root device)에서 루트 볼륨을 선택한 다음 EBS ID를 선택합니다. 루트 디바이스의 이름을 기록해 둡니다.

참고: 루트 디바이스는 AMI마다 다릅니다. 예를 들어 Amazon Linux 1 및 2는 /dev/xvda를 사용합니다. Ubuntu 14, 16, 18, CentOS7 및 RHEL 7.5와 같은 다른 배포에서는 /dev/sda1을 사용합니다.

5.    [작업]을 선택하고 [볼륨 분리]를 선택한 다음 [예, 분리]를 선택합니다. 가용 영역을 기록해 둡니다.

6.    OS가 비슷하고 원본 인스턴스와 동일한 가용 영역에서 복구 인스턴스를 시작합니다.

7.    복구 인스턴스를 시작한 후에 탐색 창에서 [볼륨]을 선택한 다음, 분리되고, 암호화된 루트 볼륨을 선택합니다.

8.    [작업], [볼륨 연결]을 선택합니다.

9.    복구 인스턴스 ID(id-xxxx)를 선택하고 /dev/xvdf 또는 /dev/sdf에서 암호화된 볼륨을 연결합니다.

10.   원래의 암호화된 볼륨과 동일한 가용 영역에서 암호화되지 않은 새 볼륨을 생성합니다

중요: 데이터 손실을 방지하려면 새 볼륨 크기가 암호화된 볼륨의 크기보다 큰지 확인하십시오.

11.   암호화되지 않은 새 볼륨을 복구 인스턴스에 /dev/xvdg 또는 /dev/sdg로 연결합니다.

12.   복구 인스턴스에 연결하고 lsblk 명령을 사용하여 루트 디바이스와 연결된 볼륨이 모두 있는지 확인합니다.

$lsblk
NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk 
└─xvda1 202:1    0   8G  0 part /
xvdf    202:80   0   8G  0 disk 
└─xvdf1 202:81   0   8G  0 part 
xvdg    202:96   0   8G  0 disk

13.   sudoer/root로서 dd 명령을 사용하여 암호화된 원본 볼륨 입력 파일은 /dev/xvdf에서 암호화되지 않은 새 볼륨으로 데이터를 이동합니다(출력 파일은 /dev/xvdg임).

#dd if=/dev/xvdf of=/dev/xvdg bs=4096 status=progress

참고: 데이터 전송 시간은 볼륨 및 인스턴스의 크기와 유형에 따라 다릅니다.

14.   복구 인스턴스에서 암호화되지 않은 새 볼륨(/dev/xvdg)을 분리합니다. 그런 다음 원본 인스턴스를 /dev/xvda 또는 /dev/sda1로 연결합니다.

15.   원본 인스턴스에 연결하여 인스턴스가 암호화되지 않은(복사된) 새 루트 볼륨을 읽는지 확인합니다.

16.   루트 볼륨이 암호화되지 않도록 하려면 Amazon EC2 콘솔에서 원본 인스턴스를 선택한 다음 볼륨의 속성을 확인합니다.

참고: 커널에 파티션 변경 사항을 등록하려면 인스턴스를 재부팅하거나 중지하고 시작해야 할 수 있습니다.

17.   원본 인스턴스의 다른 암호화된 볼륨에 대해 이 프로세스를 반복하여 암호화되지 않은 "복제된" 볼륨을 생성합니다.

18.   암호화되지 않은 새 볼륨이 제대로 작동하고 있음을 확인한 후 복구 인스턴스를 종료합니다.


이 문서가 도움이 되었습니까?


결제 또는 기술 지원이 필요합니까?