AMI 또는 스냅샷의 암호화 정보를 보려면 어떻게 해야 합니까?

간략한 설명

콘솔이나 AWS 명령줄 인터페이스(AWS CLI)를 사용하여 스냅샷 또는 AMI에 대한 암호화 정보를 볼 수 있습니다.

해결 방법

참고:

• AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하십시오.
• JSON은 기본 AWS CLI 출력입니다. 기본값을 사용하거나 명령에 --output json을 추가하여 다음 예제와 같이 출력을 수신할 수 있습니다. 자세한 내용은 --query 옵션을 사용하여 출력을 필터링하는 방법을 참조하십시오.

AWS CLI 명령을 사용하여 암호화 정보 보기

1.    BlockDeviceMappings 쿼리 필터와 함께 describe-images 명령을 실행하여 AMI와 연결된 스냅샷을 봅니다. 다음 예제에서는 image-ids 및 리전을AMI의 ID 및 리전으로 바꿉니다.

# aws ec2 describe-images --image-ids ami-xxxxxxxxx --region eu-west-1 --query "Images[*].BlockDeviceMappings"
[
    [
        {
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-xxxxxxxxx",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }
    ]
]

앞의 명령 출력 예제는 AMI와 연결된 스냅샷에 암호화된 매개 변수가 true로 설정되어 있음을 보여줍니다.

2.    describe-images 명령 출력 결과에 나열된 스냅샷의 snapshot-id를 사용하여 describe-snapshots 명령을 실행합니다.

# aws ec2 describe-snapshots --snapshot-ids snap-xxxxxxxxx  --region eu-west-1
{
    "Snapshots": [
        {
            "Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-xxxxxxxxx",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }
    ]
}

명령 출력에서 KMSKeyId를 기록합니다.

3.    describe-key 명령을 실행하여 키가 AWS 관리형 키인지 또는 고객 관리형 키인지를 확인합니다. 다음 명령에서 key-id를 describe-snapshot 명령에 나열된 KMSKeyId로 바꿉니다. 리전을 스냅샷의 리전으로 바꿉니다.

# aws kms describe-key --key-id dcd4d062-xxxxxxxxx-xxxxxxxxx  --region eu-west-1
{
    "KeyMetadata": {
        "AWSAccountId": "92xxxxxxxxx",
        "KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
        "Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
        "CreationDate": 1579611763.538,
        "Enabled": true,
        "Description": "02-example-CMK",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

앞의 출력 예제에서 ‘KeyManager’ 파라미터는 **‘고객’**으로서 이 파라미터는 키가 고객 관리형 키임을 나타냅니다. AWS 관리형 키의 경우 ‘KeyManager’ 파라미터가 ‘AWS’입니다.

콘솔을 사용하여 암호화 정보 보기

1.    Amazon EC2 콘솔을 열고 AMI를 선택합니다.

2.    세부 정보를 원하는 AMI의 ID를 복사합니다.

3.    Elastic Block Store에서 Snapshots을 선택합니다.

4.    검색 상자에 AMI ID를 붙여 넣은 다음 ENTER키를 누릅니다.

5.    스냅샷을 선택한 다음 설명 탭에서 암호화가 암호화됨 또는 암호화되지 않음으로 설정되어 있는지 확인합니다. 스냅샷이 암호화된 경우 KMS 키 ID 및 KMS 키 ARN을 기록합니다.

6.    AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

7.    AWS 관리형 키 선택한 다음 KMS 키 ID를 필터 상자에 붙여 넣습니다. 결과가 나타나지 않으면 고객 관리형 키를 선택한 다음 KMS 키 ID를 필터 상자에 붙여 넣습니다.

참고: AWS 관리형 키로 암호화된 AMI는 공유할 수 없습니다. 자세한 내용은 스냅샷 공유 시 고려 사항을 참조하십시오.

---

관련 정보

AWS KMS 개념