기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 저장 데이터 암호화
<a name="encryption-at-rest"></a>

유휴 시 암호화는 EFS 파일 시스템에 저장된 데이터를 암호화합니다. 이를 통해 규정 준수 요구 사항을 충족하고 민감한 데이터를 무단 액세스로부터 보호할 수 있습니다. 조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 모든 데이터를 암호화해야 할 수 있습니다.

**참고**  
 AWS 키 관리 인프라는 FIPS(Federal Information Processing Standards) 140-3 승인 암호화 알고리즘을 사용합니다. 이 인프라는 미국 국립 표준 기술 연구소(NIST) 800-57 표준의 권장 사항에 부합됩니다.

Amazon EFS 콘솔을 사용하여 파일 시스템을 생성하면 유휴 시 암호화가 기본적으로 활성화됩니다. AWS CLI, API 또는 SDKs를 사용하여 파일 시스템을 생성할 때는 암호화를 명시적으로 활성화해야 합니다.

EFS 파일 시스템을 생성한 후에는 암호화 설정을 변경할 수 없습니다. 즉, 암호화되지 않은 파일 시스템을 수정하여 암호화할 수 없습니다. 대신 [파일 시스템을 복제](efs-replication.md)하여 암호화되지 않은 파일 시스템의 데이터를 암호화된 새 파일 시스템으로 복사합니다. 자세한 내용은 [기존 EFS 파일 시스템에 대해 유휴 시 암호화를 켜려면 어떻게 해야 합니까?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)를 참조하세요.

## 유휴 시 암호화 작동 방식
<a name="howencrypt"></a>

암호화된 파일 시스템에서 데이터 및 메타데이터는 스토리지에 기록되기 전에 기본적으로 암호화되며 읽을 때 자동으로 해독됩니다. Amazon EFS는 해당 프로세스를 투명하게 처리하기 때문에 애플리케이션을 수정할 필요가 없습니다.

Amazon EFS는 다음과 같이 키 관리에 AWS KMS 를 사용합니다.
+ **파일 데이터 암호화** - 파일 콘텐츠는 지정한 KMS 키를 사용하여 암호화됩니다. 이는 다음 중 하나일 수 있습니다.
  + Amazon EFS AWS 소유 키 용 (`aws/elasticfilesystem`) - 기본 옵션, 추가 요금 없음.
  + 고객이 생성 및 관리하는 고객 관리형 키 – 추가적인 제어 및 감사 기능을 제공합니다.
+ **메타데이터 암호화** - 파일 이름, 디렉터리 이름 및 디렉터리 내용은 Amazon EFS가 내부적으로 관리하는 키를 사용하여 암호화됩니다.

### 암호화 프로세스
<a name="encryption-atrest-process"></a>

파일 시스템이 생성되거나 동일 계정의 파일 시스템으로 복제될 때, Amazon EFS는 호출자의 자격 증명을 사용하여 KMS 호출을 수행하기 위해 [Forward Access Session(FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 사용합니다. CloudTrail 로그에서 `kms:CreateGrant` 직접 호출은 파일 시스템 또는 복제를 생성한 것과 동일한 사용자 ID에 의해 수행된 것으로 표시됩니다. CloudTrail에서 값이 `elasticfilesystem.amazonaws.com`인 `invokedBy` 필드를 확인하여 Amazon EFS 서비스 직접 호출을 식별할 수 있습니다. KMS 키의 리소스 정책은 FAS가 호출을 수행할 수 있도록 `CreateGrant` 작업을 허용해야 합니다.

**중요**  
권한 부여에 대한 제어를 관리하고 언제든지 취소할 수 있습니다. 권한 부여를 취소하면 Amazon EFS가 향후 작업을 위해 KMS 키에 액세스할 수 없습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [권한 부여 중지 및 취소](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html)를 참조하세요.

고객 관리형 KMS 키를 사용하는 경우 리소스 정책은 Amazon EFS 서비스 보안 주체도 허용하고 특정 서비스 엔드포인트에 대한 액세스를 제한하는 `kms:ViaService` 조건을 포함해야 합니다. 예제:

```
"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"
```

Amazon EFS는 저장 데이터 및 메타데이터 암호화에 업계 표준인 AES-256 암호화 알고리즘을 사용합니다.

Amazon EFS의 KMS 키 정책에 대한 자세한 내용은 [Amazon EFS에 AWS KMS 키 사용](EFSKMS.md) 섹션을 참조하세요.

## 새 파일 시스템에 유휴 시 데이터 암호화 적용
<a name="enforce-encryption-at-rest"></a>

 AWS Identity and Access Management (IAM)의 ID 기반 정책에서 `elasticfilesystem:Encrypted` IAM 조건 키를 사용하여 사용자가 EFS 파일 시스템을 생성할 때 유휴 시 암호화를 강제 적용할 수 있습니다. 조건 키 사용에 관한 자세한 내용은 [예: 암호화된 파일 시스템 생성 적용](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest) 섹션을 참조하세요.

또한 내부에서 서비스 제어 정책(SCPs 정의 AWS Organizations 하여 조직의 모든 AWS 계정 에 대해 Amazon EFS 암호화를 적용할 수 있습니다. 의 서비스 제어 정책에 대한 자세한 내용은 *AWS Organizations 사용 설명서*의 [서비스 제어 정책을](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) AWS Organizations참조하세요.