AWS Elastic Beanstalk로 EBS 볼륨 암호화?
배경.
현재 Elastic Beanstalk 서비스로는 EBS 암호화 설정 기능이 없다.
EBS를 암호화하려면 다음 방법 중 하나가 필요합니다.
(1) EBS 암호화 볼륨 기본 암호화 설정
(2) Elastic Beanstalk 환경에서 AMI로 EBS 볼륨에 대한 암호화 설정을 위한 사용자 정의 AMI를 만들고 AMI를 사용합니다.
이번에는 (1) 방법으로 EBS를 암호화하는 방법을 소개합니다.
이 메서드는 기본 암호화가 활성화되면 나중에 설정된 영역에 구축된 EBS가 모두 암호화됩니다.
절차.
KMS 만들기
기본 KMS 키를 사용할 때 이 단계를 건너뛰어도 괜찮습니다.
※ 기본 KMS 키를 사용하면 AWS 계정 간에 암호화된 스냅샷을 복사할 수 없습니다. 주의하십시오
고객 플래그를 만들 때, 중요한 정책에 자동으로 표시될 때 사용하는 서비스를 KMS로 스크롤하는 접근 허가를 명기해야 합니다.
Elastic Beanstalk은 자동으로 표시된 EC2를 사용하기 때문에 서비스 역할이 KMS에 접근할 수 없으면 EC2를 시작할 수 없고 중복됩니다.
키워드 정책 예{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::アカウントID:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "オートスケーリングのサービスロール"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": "オートスケーリングのサービスロール"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
※ 필기를 걸어 넘어뜨리기
나는 처음에 관건적인 전략으로 Elastic Beanstalk의 서비스 역할을 허가했다.
EC2는 몇 번을 해도 가동이 되지 않아 고전했다"면서"어느 서비스가 EC2를 가동했느냐.생각만 해도 알겠다.
Elastic Beanstalk은 자동 입찰 설정만 다루기 때문에 자동 입찰 측면에 KMS에 대한 접근 허가가 필요합니다.
EBS 기본 암호화 설정
KMS가 작성되면 EC2가 시작될 때 EBS는 기본적으로 암호화됩니다.
EC2 대시보드 화면에서 설정 을 누릅니다.
다음과 같이 설정 화면을 표시합니다.기본 KMS 키를 사용할 때 기본 암호화 키로 "(기본) aws/ebs"를 지정하십시오.
Elastic Beanstalk을 사용하여 환경 만들기
이렇게 준비하면 완성된다.특별히 Elastic Beanstalk 측에서 설정을 변경할 필요가 없다.여느 때와 같은 방법으로 일라스틱 빈스토크를 사용해 환경을 만들면 EBS는 암호화 상태로 구축된다.
총결산
EBS 현황을 엘라스틱 빈스토크로 암호화하는 데는 약간의 노력이 필요하다.
사용자 정의 AMI를 만들어 암호화하는 방법이라면 별도로 AMI를 만들어야 하기 때문에 시간이 걸리지만, 기본 암호화를 사용하는 방법이라면 간단히 할 수 있다.
나는 사용자 정의 AMI를 만드는 방법을 언제 다른 문장으로 투고할지 고려하고 있다.
Reference
이 문제에 관하여(AWS Elastic Beanstalk로 EBS 볼륨 암호화?), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/KikuLabo/items/8806194ebf95756221e1
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
KMS 만들기
기본 KMS 키를 사용할 때 이 단계를 건너뛰어도 괜찮습니다.
※ 기본 KMS 키를 사용하면 AWS 계정 간에 암호화된 스냅샷을 복사할 수 없습니다. 주의하십시오
고객 플래그를 만들 때, 중요한 정책에 자동으로 표시될 때 사용하는 서비스를 KMS로 스크롤하는 접근 허가를 명기해야 합니다.
Elastic Beanstalk은 자동으로 표시된 EC2를 사용하기 때문에 서비스 역할이 KMS에 접근할 수 없으면 EC2를 시작할 수 없고 중복됩니다.
키워드 정책 예
{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::アカウントID:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "オートスケーリングのサービスロール"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": "オートスケーリングのサービスロール"
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
※ 필기를 걸어 넘어뜨리기나는 처음에 관건적인 전략으로 Elastic Beanstalk의 서비스 역할을 허가했다.
EC2는 몇 번을 해도 가동이 되지 않아 고전했다"면서"어느 서비스가 EC2를 가동했느냐.생각만 해도 알겠다.
Elastic Beanstalk은 자동 입찰 설정만 다루기 때문에 자동 입찰 측면에 KMS에 대한 접근 허가가 필요합니다.
EBS 기본 암호화 설정
KMS가 작성되면 EC2가 시작될 때 EBS는 기본적으로 암호화됩니다.
EC2 대시보드 화면에서 설정 을 누릅니다.
다음과 같이 설정 화면을 표시합니다.기본 KMS 키를 사용할 때 기본 암호화 키로 "(기본) aws/ebs"를 지정하십시오.
Elastic Beanstalk을 사용하여 환경 만들기
이렇게 준비하면 완성된다.특별히 Elastic Beanstalk 측에서 설정을 변경할 필요가 없다.여느 때와 같은 방법으로 일라스틱 빈스토크를 사용해 환경을 만들면 EBS는 암호화 상태로 구축된다.
총결산
EBS 현황을 엘라스틱 빈스토크로 암호화하는 데는 약간의 노력이 필요하다.
사용자 정의 AMI를 만들어 암호화하는 방법이라면 별도로 AMI를 만들어야 하기 때문에 시간이 걸리지만, 기본 암호화를 사용하는 방법이라면 간단히 할 수 있다.
나는 사용자 정의 AMI를 만드는 방법을 언제 다른 문장으로 투고할지 고려하고 있다.
Reference
이 문제에 관하여(AWS Elastic Beanstalk로 EBS 볼륨 암호화?), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/KikuLabo/items/8806194ebf95756221e1텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)