AWS KMS를 사용하여 CloudWatch Logs의 로그 데이터를 암호화하려면 어떻게 해야 합니까?

간략한 설명

기본적으로 CloudWatch Logs는 서버 측 암호화(SSE) 키를 사용하여 로그 그룹 데이터를 암호화합니다. 로그 데이터 암호화를 제어하거나 보안 정책을 준수하기 위해 AWS KMS에서 고객 관리형 키를 사용할 수도 있습니다.

참고: AWS KMS 암호화를 사용하면 비용이 증가할 수 있습니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

기존 고객 관리형 키를 사용하여 로그 그룹의 로그 데이터를 암호화할 수 있습니다. 고객 관리형 키가 없는 경우 시작하기 전에 키를 생성하십시오.

중요: CloudWatch Logs에서는 대칭 AWS KMS 키만 사용할 수 있습니다. 비대칭 키는 사용하지 마십시오.

AWS KMS 키에 액세스하는 데 필요한 권한을 CloudWatch Logs에 부여

AWS KMS 키에 액세스할 수 있는 권한을 CloudWatch Logs에 부여하려면 키 정책을 변경하십시오. CloudWatch Logs 서비스 주체 및 호출자 역할이 키를 사용하는 데 필요한 권한을 가지고 있는지 확인하십시오.

AWS KMS 키를 로그 그룹에 연결

생성 중 또는 이후에 AWS KMS 키를 연결할 수 있습니다. 암호화 시 키를 연결하는 데는 최대 5분이 걸립니다.

키 생성 중에 AWS KMS 키 연결

다음 단계를 완료하십시오.

1. CloudWatch 콘솔을 엽니다.
2. 탐색 창에서 Log groups(로그 그룹)를 선택합니다.
3. 로그 그룹 생성을 선택합니다.
4. 로그 그룹의 이름과 AWS KMS 키 ARN을 입력합니다.
5. 생성을 선택합니다.

또는 다음 create-log-group AWS CLI 명령을 실행합니다.

aws logs create-log-group --log-group-name example-log-group --kms-key-id example-key-arn

참고: example-log-group을 로그 그룹 이름으로 바꾸고, example-key-arn을 AWS KMS 키 ID로 바꾸십시오.

키 생성 후 AWS KMS 키 연결

참고: CloudWatch 콘솔을 사용하여 AWS KMS 키를 기존 로그 그룹에 연결할 수는 없습니다.

생성 후 AWS KMS 키를 연결하려면 다음 associate-kms-key 명령을 실행합니다.

aws logs associate-kms-key --log-group-name example-log-group --kms-key-id example-key-arn

참고: example-log-group을 로그 그룹 이름으로 바꾸고, example-key-arn을 AWS KMS 키 ID로 바꾸십시오.

로그 그룹에서 AWS KMS 키를 연결 해제할 수도 있습니다. AWS KMS 키를 연결 해제하거나 변경한 후 CloudWatch Logs는 암호를 해독하고 로그 데이터를 반환할 수 있습니다. 하지만 AWS KMS 키를 비활성화하면 CloudWatch Logs는 해당 키로 암호화한 로그를 읽을 수 없습니다.

관련 정보

AWS Key Management Service를 사용하여 CloudWatch 로그의 로그 데이터 암호화

Amazon CloudWatch Logs의 데이터 보호