EBS 볼륨 암호화를 사용하여 EMR 클러스터를 만들려면 어떻게 해야 합니까?

3분 분량
0

Amazon EMR에서 Amazon Elastic Block Store(Amazon EBS) 암호화를 켜고 싶습니다. 또는 AWS Key Management Service(AWS KMS) 키를 사용하여 EMR 클러스터에 연결된 EBS 볼륨을 암호화하고 싶습니다.

간략한 설명

Amazon EBS 암호화는 AWS KMS와 통합되어 데이터를 보호하는 암호화 키를 제공합니다. Amazon EMR 버전 5.24.0부터는 EBS 암호화를 사용하도록 선택할 수 있습니다. EBS 암호화 옵션은 EBS 루트 디바이스 볼륨과 연결된 스토리지 볼륨을 암호화합니다. 고려 사항 및 제한 사항은 로컬 디스크 암호화를 참조하세요.

EMR 클러스터에서 EBS 볼륨을 암호화하는 두 가지 옵션이 있습니다.

  • 계정 수준에서 EBS 볼륨의 암호화를 기본적으로 활성화합니다.
  • KMS 키와 Amazon EMR 보안 구성을 생성하여 특정 EMR 클러스터의 EBS 볼륨을 암호화합니다.

해결 방법

계정 수준에서 EBS 볼륨의 암호화를 기본적으로 활성화합니다

자세한 내용은 기본 암호화를 참조하세요.

KMS 키와 Amazon EMR 보안 구성을 생성하여 특정 EMR 클러스터의 EBS 볼륨을 암호화합니다.

이 옵션을 사용하려면 다음과 같이 하십시오.

  1. KMS 키를 생성합니다.
  2. Amazon EMR 보안 구성을 생성하고 구성합니다.
  3. 보안 구성으로 EMR 클러스터를 프로비저닝합니다.

1단계: KMS 키 생성

이러한 용도로 사용할 수 있는 KMS 키가 없는 경우 다음을 수행하여 키를 생성합니다.

  1. AWS KMS 콘솔을 엽니다.
  2. AWS 리전을 변경하려면 페이지 오른쪽 상단의 리전 선택기를 사용합니다.
  3. 탐색 창에서 고객 관리형 키를 선택합니다.
  4. **키 생성(Create key)**을 선택합니다.
  5. 대칭 암호화 KMS 키를 생성하려면 **키 유형(Key type)**에서 **대칭(Symmetric)**을 선택합니다.
  6. **키 사용(Key usage)**의 경우 암호화 및 암호 해독(Encrypt and decrypt) 옵션이 선택됩니다.
  7. **다음(Next)**을 선택합니다.
  8. 키의 별칭을 입력합니다.
  9. **다음(Next)**을 선택합니다.
  10. 키 관리자를 선택합니다.
  11. **다음(Next)**을 선택합니다.
  12. Amazon EMR 서비스 역할(Amazon EMR service role)을 선택합니다. 기본 역할은 EMR_DefaultRole입니다.
  13. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 프로파일 역할을 선택합니다. 인스턴스 프로필의 기본 역할은 EMR_EC2_DefaultRole입니다.
  14. **다음(Next)**을 선택합니다.
  15. **마침(Finish)**을 선택합니다.

사용자 지정 Amazon EMR 서비스 역할을 사용하는 경우 EMR 클러스터를 프로비저닝하기 전에 역할에 다음 정책을 추가하십시오.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

2단계: Amazon EMR 보안 구성 생성 및 구성

  1. Amazon EMR 콘솔을 엽니다.
  2. **보안 구성(Security configurations)**을 선택합니다.
  3. **생성(Create)**을 선택합니다.
  4. **로컬 디스크 암호화(Local disk encryption)**에서 **로컬 디스크의 저장 중 암호화 활성화(Enable at-rest encryption for local disks)**를 선택합니다.
  5. **키 제공자 유형(Key provider type)**에서 AWS KMS를 선택합니다.
  6. AWS KMS 고객 마스터 키의 경우 KMS 키의 키 ARN을 선택합니다.
  7. **EBS 암호화를 사용한 EBS 볼륨 암호화(Encrypt EBS volumes with EBS encryption)**를 선택합니다.
  8. **생성(Create)**을 선택합니다.

3단계: 보안 구성으로 EMR 클러스터 프로비저닝

EMR 콘솔을 사용하여 EMR 클러스터를 생성하는 경우 4단계: 보안에서 방금 생성한 보안 구성을 선택합니다.

다른 방법을 통해 EMR 클러스터를 생성할 때는 방금 생성한 구성을 사용하여 보안 구성을 지정합니다.


AWS 공식
AWS 공식업데이트됨 일 년 전