기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Rekognition의 데이터 보호
<a name="data-protection"></a>

AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 Amazon Rekognition의 데이터 보호에 적용됩니다. 이 모델에서 설명하는 것처럼 AWS은 모든 AWS 클라우드를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 사용자는 인프라에서 호스팅되는 콘텐츠를 관리해야 합니다. 사용하는 AWS 서비스의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 대한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.

데이터를 보호하려면 AWS 계정 자격 증명을 보호하고 AWS IAM Identity Center 또는 AWS Identity and Access Management(IAM)를 통해 개별 사용자 계정을 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용하세요.
+ SSL/TLS를 사용하여 AWS 리소스와 통신하세요. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ AWS CloudTrail로 API 및 사용자 활동 로깅을 설정하세요. AWS 활동 캡처에 CloudTrail 추적을 사용하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [CloudTrail 추적 작업](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)을 참조하세요.
+ AWS 암호화 솔루션을 AWS 서비스 내의 모든 기본 보안 컨트롤과 함께 사용하세요.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용하세요.
+ 명령줄 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-3 검증된 암호화 모듈이 필요한 경우, FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [Federal Information Processing Standard(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.

고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 Rekognition 또는 기타 AWS 서비스에서 콘솔, API, AWS CLI 또는 AWS SDK를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.

# 데이터 암호화
<a name="security-data-encryption"></a>

다음 정보는 Amazon Rekognition에서 데이터 암호화를 사용하여 데이터를 보호하는 방법을 설명합니다.

## 저장 시 암호화
<a name="security-data-encryption-at-rest"></a>

### Amazon Rekognition Image
<a name="security-ear-rekognition-image"></a>

#### 이미지
<a name="security-image-ear-images"></a>

Amazon Rekognition API 작업으로 전달된 이미지는 저장되어 서비스를 개선하는 데 사용될 수 있습니다. 단, [AI 서비스 옵트아웃 정책 페이지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)를 방문하여 거기에 설명된 프로세스에 따라 옵트아웃한 경우는 예외입니다. 저장된 이미지는 AWS Key Management Service(SSE-KMS)를 사용하여 저장 시 암호화(Amazon S3)됩니다.

#### 컬렉션
<a name="security-ear-face-comparison-collections"></a>

컬렉션에 정보를 저장하는 얼굴 비교 작업의 경우 기본 감지 알고리즘은 먼저 입력 이미지에서 얼굴을 감지하고 각 얼굴에 대한 벡터를 추출한 다음 얼굴 벡터를 컬렉션에 저장합니다. Amazon Rekognition은 얼굴 비교를 수행할 때 이러한 얼굴 벡터를 사용합니다. 얼굴 벡터는 부동 소수점의 배열로 저장되고 저장 시 암호화됩니다.

### Amazon Rekognition Video
<a name="security-ear-rekognition-video"></a>

#### 동영상
<a name="security-video-ear-videos"></a>

 비디오를 분석하기 위해 Amazon Rekognition은 처리할 비디오를 서비스에 복사합니다. 비디오는 저장되어 서비스를 개선하는 데 사용될 수 있습니다. 단, [AI 서비스 옵트아웃 정책 페이지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)를 방문하여 거기에 설명된 프로세스에 따라 옵트아웃한 경우는 예외입니다. 비디오는 AWS Key Management Service(SSE-KMS)를 사용하여 저장 시 암호화(Amazon S3)됩니다.

### Amazon Rekognition Custom Labels
<a name="security-ear-custom-labels"></a>

Amazon Rekognition Custom Labels는 저장 데이터를 암호화합니다.

#### 이미지
<a name="security-ear-cl-images"></a>

 모델을 학습시키기 위해 Amazon Rekognition Custom Labels는 소스 훈련 및 테스트 이미지의 사본을 만듭니다. 복사된 이미지는 사용자가 제공한 AWS KMS key나 AWS가 소유한 KMS 키를 사용한 서버 측 암호화 방식으로 Amazon Simple Storage Service(S3)에서 저장 시 암호화됩니다. Amazon Rekognition Custom Labels는 대칭 KMS 키만 지원합니다. 소스 이미지는 영향을 받지 않습니다. 자세한 내용은 [Amazon Rekognition Custom Labels 모델 훈련](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/tm-train-model.html)을 참조하세요.

#### 모델
<a name="security-ear-cl-models"></a>

기본적으로 Amazon Rekognition Custom Labels는 AWS 소유 키를 사용한 서버 측 암호화로 Amazon S3 버킷에 저장된 학습된 모델 및 매니페스트 파일을 암호화합니다. 자세한 내용은 [서버 측 암호화를 사용하여 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)를 참조하십시오. 학습 결과는 [CreateProjectVersion](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateProjectVersion.html)의 `OutputConfig` 입력 파라미터에 지정된 버킷에 기록됩니다. 학습 결과는 버킷에 대해 구성된 암호화 설정(`OutputConfig`) 을 사용하여 암호화됩니다.

#### 콘솔 버킷
<a name="security-ear-cl-console"></a>

Amazon Rekognition Custom Labels 콘솔은 프로젝트를 관리하는 데 사용할 수 있는 Amazon S3 버킷(콘솔 버킷)을 생성합니다. 콘솔 버킷은 기본 Amazon S3 암호화를 사용하여 암호화됩니다. 자세한 내용을 알아보려면 [S3 버킷에 대한 Amazon Simple Storage Service 기본 암호화](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html)를 참조하세요. 자체 KMS 키를 사용하는 경우 콘솔 버킷을 생성한 후에 구성하십시오. 자세한 내용은 [서버 측 암호화를 사용하여 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)를 참조하십시오. Amazon Rekognition Custom Labels는 콘솔 버킷에 대한 퍼블릭 액세스를 차단합니다.

### Rekognition Face Liveness
<a name="security-ear-rekognition-liveness"></a>

Rekognition Face Liveness 서비스 계정에 저장된 모든 세션 관련 데이터는 저장 중 완전히 암호화됩니다. 기본적으로 참조 및 감사 이미지는 서비스 계정의 AWS 소유 키를 사용하여 암호화됩니다. 하지만 이러한 이미지를 암호화하기 위해 자체 AWS KMS 키를 제공하실 수도 있습니다.

## 전송 중 암호화
<a name="security-data-encryption-in-transit"></a>

Amazon Rekognition API 엔드포인트는 HTTPS를 통한 보안 연결만을 지원합니다. 모든 통신은 TLS(전송 계층 보안)를 통해 암호화됩니다.

## 키 관리
<a name="security-data-encryption-key-management"></a>

AWS Key Management Service(KMS)를 사용하여 Amazon S3 버킷에 저장하는 입력 이미지 및 비디오의 키를 관리할 수 있습니다. 자세한 내용은 [AWS Key Management Service 개념](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)을 참조하세요.

### Face Liveness를 위한 고객 관리형 키 암호화
<a name="security-data-encryption-key-management-liveness"></a>

[CreateFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateFaceLivenessSession.html) API는 선택적 `KmsKeyId` 파라미터를 수용합니다. 계정에 생성한 KMS 키의 `id`를 제공할 수 있습니다. 이 키는 [StartFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_StartFaceLivenessSession.html) API 중에 가져온 참조 및 감사 이미지를 암호화하는 데 사용되며 [GetFaceLivenessSessionResults](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_GetFaceLivenessSessionResults.html) API 중에는 결과를 반환하기 전에 이 키를 사용하여 이미지를 복호화합니다. CreateFaceLivenessSession 요청에 OutputConfig이 포함된 경우 참조 및 감사 이미지는 지정된 Amazon S3 경로에 업로드됩니다. Amazon S3 버킷에서 서버 측 암호화([SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html))를 활성화하여 저장된 데이터가 계속 암호화된 상태로 유지되도록 하는 것이 좋습니다.

자체 AWS KMS 키 ID를 입력하면 Rekognition Face Liveness 서비스는 API를 간접 호출하는 보안 주체를 대신하여 고객 관리형 키를 사용할 수 있는 권한을 얻습니다. 고객 백엔드(`CreateFaceLivenessSession` 및 `GetFaceLivenessSessionResults` API)에서 API를 간접 호출하는 데 사용되는 보안 주체(사용자 또는 역할)는 다음을 수행할 수 있는 액세스 권한이 있어야 합니다.
+ kms:DescribeKey
+ kms:GenerateDataKey
+ kms:Decrypt

# 인터네트워크 트래픽 개인 정보
<a name="security-inter-network-privacy"></a>

Amazon Rekognition용 Amazon Virtual Private Cloud(VPC) 엔드포인트는 VPC 내의 논리적 개체로서, Amazon Rekognition에만 연결을 허용합니다. Amazon VPC는 Amazon Rekognition으로 요청을 라우팅하고, 응답을 다시 VPC로 라우팅합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)를 참조하세요. Amazon Rekognition과 함께 Amazon VPC 엔드포인트를 사용하는 방법에 대한 자세한 내용은 [Amazon Rekognition에서 Amazon VPC 엔드포인트 사용](vpc.md) 섹션을 참조하세요.