Amazon Redshift 클러스터를 암호화하려면 어떻게 해야 하나요?

최종 업데이트 날짜: 2022년 10월 31일

Amazon Redshift 클러스터를 암호화하고 싶습니다. 어떻게 해야 하나요?

해결 방법

Amazon Redshift 클러스터를 생성할 때 암호화를 활성화할 수 있습니다. 또는 AWS Key Management Service(AWS KMS) 암호화를 사용하도록 기존의 암호화되지 않은 Amazon Redshift 클러스터를 수정할 수 있습니다. Amazon Redshift 서버리스는 기본적으로 암호화되지만 네임스페이스의 AWS KMS 키를 변경할 수 있습니다.

새 Amazon Redshift 클러스터를 생성하는 동안 암호화 켜기

Amazon Redshift 클러스터를 생성할 때 암호화를 켜려면 다음 작업을 수행하세요.

  1. Amazon Redshift 콘솔을 엽니다.
  2. 탐색 창에서 Clusters(클러스터)를 선택하고 Create cluster(클러스터 생성)를 선택합니다.
  3. Create cluster(클러스터 생성)에서, 원하는 사양에 맞게 클러스터를 구성합니다. 자세한 내용은 클러스터 생성을 참조하세요.
  4. Additional configurations(추가 구성)에서 Use defaults(기본값 사용)를 끕니다.
  5. Database configurations(데이터베이스 구성)에서 Use AWS Key Management Service (AWS KMS)(AWS Key Management Service(AWS KMS) 사용) 또는 Use a hardware security module (HSM)(하드웨어 보안 모듈(HSM) 사용)을 선택합니다. 암호화 옵션에 대한 자세한 내용은 Amazon Redshift 데이터베이스 암호화를 참조하세요.
  6. (선택 사항) 추가 구성 옵션에 대한 사양을 정의합니다.
  7. Create cluster(클러스터 생성)를 선택합니다.

참고: DC2 및 RA3 노드 유형에는 Hardware security module (HSM) encryption(하드웨어 보안 모듈(HSM) 암호화)가 지원되지 않습니다.

암호화되지 않은 Amazon Redshift 클러스터가 암호화를 사용하도록 수정

암호화를 활성화하도록 Amazon Redshift 클러스터를 수정할 때는 다음 사항을 고려하세요.

  • 암호화가 켜진 후 Amazon Redshift는 동일한 클러스터 식별자를 가진 새로운 암호화된 클러스터로 데이터를 자동으로 마이그레이션합니다. 이 마이그레이션 작업 중에는 클러스터를 읽기 전용 모드로 사용할 수 있으며 클러스터 상태는 크기 조정 중으로 표시됩니다.
  • 클러스터에 RA3 노드 유형이 있는 경우 Amazon Redshift 클러스터 암호화 변경은 Faster Classic Resize(더 빠른 클래식 크기 조정)를 사용하여 수행됩니다. 다른 모든 노드 유형의 경우 Amazon Redshift는 Classic Resize(클래식 크기 조정)를 사용하여 암호화 변경을 수행합니다.
  • 크기 조정 작업을 완료하는 데 걸리는 시간은 다음 사항에 따라 달라질 수 있습니다.
    원본 클러스터의 읽기 워크로드
    테이블 정의
    확장 대상 및 출처의 스큐 노드 유형

콘솔을 사용하여 기존 Amazon Redshift 클러스터가 암호화를 사용하도록 수정하려면 다음 작업을 수행하세요.

  1. Amazon Redshift 콘솔을 엽니다.
  2. 탐색 창에서 Cluster(클러스터)를 선택한 다음 암호화하려는 클러스터를 선택합니다.
  3. Properties(속성)를 선택합니다.
  4. Database configurations(데이터베이스 구성)에서 Edit(편집)를 선택한 다음 Edit encryption(암호화 편집)을 선택합니다.
  5. Use AWS Key Management Service (AWS KMS)(AWS Key Management Service(AWS KMS) 사용) 또는 Use a hardware security module (HSM)(하드웨어 보안 모듈(HSM) 사용)을 선택합니다. 암호화 옵션에 대한 자세한 내용은 Amazon Redshift 데이터베이스 암호화를 참조하세요.

AWS CLI를 사용하여 기존 Amazon Redshift 클러스터가 AWS KMS 암호화를 사용하도록 수정하려면 다음과 같은 modify-cluster 명령을 실행하세요.

참고: 기본 KMS 키가 기본적으로 사용됩니다. 고객 관리형 키를 사용하려면 kms-key-id 옵션을 포함하고 value를 사용자의 KMS 키로 바꿉니다.

> aws redshift modify-cluster --cluster-identifier <value> --encrypted --kms-key-id <value>

참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

Amazon Redshift 서버리스의 네임스페이스에 대한 AWS KMS 키 변경

Amazon Redshift 서버리스는 기본적으로 암호화됩니다. 하지만 Amazon Redshift 서버리스는 조직의 보안 정책을 준수할 수 있도록 네임스페이스의 AWS KMS 키 변경을 지원합니다. AWS KMS 키를 변경할 때 데이터는 변경되지 않습니다.

AWS KMS 키를 변경할 때는 다음 사항을 고려하세요.

  • 키를 변경하는 데 걸리는 시간은 Amazon Redshift 서버리스의 데이터 양에 따라 달라집니다. 일반적으로 저장된 데이터 8TB당 15분이 소요됩니다.
  • 고객 관리형 KMS 키에서 AWS KMS 키로 변경할 수 없습니다. 고객 관리형 KMS 키를 생성한 후 AWS KMS 키를 사용하려면 새 네임스페이스를 생성해야 합니다.
  • 키가 변경되는 동안에는 다른 작업을 수행할 수 없습니다.

네임스페이스의 AWS KMS 키를 변경하려면 다음 작업을 수행하세요.

  1. Amazon Redshift 콘솔을 엽니다.
  2. 탐색 창에서 Namespace configuration(네임스페이스 구성)을 선택한 다음 목록에서 원하는 네임스페이스를 선택합니다.
  3. Security and encryption(보안 및 암호화) 탭에서 Edit(편집)를 선택합니다.
  4. Customize encryption settings(암호화 설정 사용자 지정)를 선택한 다음 네임스페이스의 키를 선택하거나 새 키를 생성합니다.

AWS CLI를 사용하여 네임스페이스의 AWS KMS 키를 변경하려면 다음과 같은 update-namespace 명령을 실행하세요.

참고: 네임스페이스가 생성되어 있어야 합니다. 그렇지 않으면 AWS CLI 명령에서 오류가 발생합니다.

aws redshift-serverless update-namespace
--namespace-name
[--kms-key-id <id-of-kms-key>]
// other parameters omitted here

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?