AMI 또는 스냅샷의 암호화 정보를 보려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 12월 14일

Amazon Machine Image(AMI) 또는 스냅샷이 암호화되었는지, 그리고 암호화되었다면 AWS 관리형 고객 마스터 키(CMK)를 사용하거나 고객 관리형 CMK를 사용하는지 확인하는 방법은 무엇입니까?

간략한 설명

콘솔이나 AWS 명령줄 인터페이스(AWS CLI)를 사용하여 스냅샷 또는 AMI에 대한 암호화 정보를 볼 수 있습니다.

해결 방법

참고:

AWS CLI 명령을 사용하여 암호화 정보 보기

1.     BlockDeviceMappings 쿼리 필터와 함께 describe-images 명령을 실행하여 AMI와 연결된 스냅샷을 봅니다. 다음 예제에서는 image-ids리전을AMI의 ID 및 리전으로 바꿉니다.

# aws ec2 describe-images --image-ids ami-xxxxxxxxx --region eu-west-1 --query "Images[*].BlockDeviceMappings"
[
    [
        {
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-xxxxxxxxx",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }
    ]
]

앞의 명령 출력 예제는 AMI와 연결된 스냅샷에 암호화된 매개 변수가 true로 설정되어 있음을 보여줍니다.

2.    describe-images 명령 출력 결과에 나열된 스냅샷의 snapshot-id를 사용하여 describe-snapshots 명령을 실행합니다.

# aws ec2 describe-snapshots --snapshot-ids snap-xxxxxxxxx  --region eu-west-1
{
    "Snapshots": [
        {
            "Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-xxxxxxxxx",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }
    ]
}

명령 출력에서 KMSKeyId를 기록합니다.

3.    describe-key 명령을 실행하여 키가 AWS 관리형 CMK인지 또는 고객 관리형 CMK인지를 확인합니다. 다음 명령에서 key-iddescribe-snapshot 명령에 나열된 KMSKeyId로 바꿉니다. 리전을 스냅샷의 리전으로 바꿉니다.

# aws kms describe-key --key-id dcd4d062-xxxxxxxxx-xxxxxxxxx  --region eu-west-1
{
    "KeyMetadata": {
        "AWSAccountId": "92xxxxxxxxx",
        "KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
        "Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
        "CreationDate": 1579611763.538,
        "Enabled": true,
        "Description": "02-example-CMK",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

앞의 출력 예제에서 “KeyManager” 매개 변수는 “고객”으로서 이 매개 변수는 키가 고객 관리형 CMK임을 나타냅니다. AWS 관리형 키의 경우 “KeyManager” 매개 변수가 “AWS”입니다.

콘솔을 사용하여 암호화 정보 보기

1.    Amazon EC2 콘솔을 열고 AMI를 선택합니다.

2.    세부 정보를 원하는 AMI의 ID를 복사합니다.

3.    Elastic Block Store에서 Snapshots을 선택합니다.

4.    검색 상자에 AMI ID를 붙여 넣은 다음 ENTER키를 누릅니다.

5.    스냅샷을 선택한 다음 설명 탭에서 암호화암호화됨 또는 암호화되지 않음으로 설정되어 있는지 확인합니다. 스냅샷이 암호화된 경우 KMS 키 IDKMS 키 ARN을 기록합니다.

6.    AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

7.    AWS 관리형 키 선택한 다음 KMS 키 ID를 필터 상자에 붙여 넣습니다. 결과가 나타나지 않으면 고객 관리형 키를 선택한 다음 KMS 키 ID를 필터 상자에 붙여 넣습니다.

참고: AWS 관리형 키로 암호화된 AMI는 공유할 수 없습니다. 자세한 내용은 스냅샷 공유 시 고려 사항을 참조하십시오.


이 문서가 도움이 되었습니까?


결제 또는 기술 지원이 필요합니까?