소개

이 기사는

AWS Backup을 사용하여 KMS의 CMK로 암호화된 상태에서 교차 리전에 EC2의 AMI를 저장하는 방법을 소개합니다.

하고 싶은 것: EC2의 백업(AMI)을 크로스 리전에서 취득한다. 그 때 CMK로 암호화한다.

오사카 지역이 생겨 백업을 오사카에 유지하고 싶다는 요건이 늘어날 것 같습니다.
단순히 백업만 하면 공식 문서를 읽으면 간단하게 작성 가능합니다.
그러나 암호화하고, 임의의 CMK를 지정하면 공식 문서의 기재가 점점 이해하기 어려웠기 때문에, 검증해 확인해 보았습니다.
포인트는 단순히 백업을 취하는 것이 아니라,

교차 지역에 복사

CMK로 암호화

포인트입니다.

결과 : 출력 대상 볼트에 CMK를 지정하여 CMK로 암호화

검증 결과, 출력처의 볼트에 CMK를 설정하면, 그 CMK로 암호화되었습니다.
KMS 키가 지정되지 않은 경우 AWS 관리 서비스별 키를 기본 키로 사용하여 암호화합니다.

검증

준비

도쿄 리전과 오사카 리전에 각각 CMK를 작성

도쿄 지역에는 암호화 인스턴스 A와 암호화되지 않은 인스턴스 B의 두 가지가 있습니다

오사카 지역에 백업 볼트 만들기

만든 CMK 지정

도쿄 리전에서 AWS Backup에 백업 계획 생성

백업 리소스로 두 인스턴스를 지정

복사 대상으로 오사카를 지정하고 복사 대상 볼트에 작성한 볼트를 지정

검증 결과

원래 인스턴스의 암호화 유무에 관계없이 두 가지 모두 CMK로 암호화된 상태로 백업이 검색되었습니다.
자세한 것은 생략합니다만, 이런 느낌입니다. 206부터 시작하는 CMK로 안전하게 암호화됩니다.

참고문헌

AWS Backup 정보

DevelopersIO 씨가 AWS Backup에 대해 알기 쉽게 정리했습니다.
유석의 퀄리티로, 볼트나 룰이나 플랜이라든지 한발로 이해할 수 있습니다.
고마워요.
htps : //에서 v.ぁsss d. jp / 아 rc c ぇ s / 아 ws-c c p-pe r ぇ ct

공식 문서 기재

htps : // / cs. 아 ws. 아마존. 이 m / 아 ws - c / p / st / v로 / 엔 cryp 치온. HTML
암호화된 리소스의 백업을 얻는 경우 원래 리소스에서 사용한 키를 사용하여 암호화된다는 설명이 있습니다.
반면에 교차 지역의 경우 원래 지역에서 사용했던 KMS 키를 사용할 수 없다는 설명이 있습니다.

그렇다면 그 경우 어떻게 될까라는 점에 대해서는 명기가 없습니다만, 2021/5/31 시점에서는 관련한 기재가 있습니다.
htps : // / cs. 아 ws. 아마존. 이 m / 아 ws - c / p / st / v로 / 엔 cryp 치온. html
요약하면 이런 느낌입니다.

암호화하지 않은 리소스를 백업하는 경우에도 아래의 법칙으로 디폴트로 암호화하려고 한다.
1. 키가 지정되지 않은 경우 해당 볼트에 등록된 AWS 관리의 기본 키로 암호화합니다.
2. AWS Storage Gateway의 경우 볼트에 등록된 고객 관리형(CMK) 키로 암호화합니다.

그래서 EC2의 경우 1이 적용되어 디폴트의 키로 암호화되는 것일까라고 생각하면서, 원래 암호화되어 있던 것이고 크로스 리전이라고 어떻게 되는지 시험해 보았는데, 이 기사와 같은 결과 되었습니다.