목차


소개

Amazon Macie는 Amazon S4 버킷에서 데이터를 검색할 때 사용하는 기능이다. 이를 특정 문자나 정규표현식을 사용하여 찾는다. 설명에는 기계학습을 사용하여 개인정보(PII)나 민감한 데이터를 식별할 수 있다고 소개한다.

구축

처음 Macie에 들어가면 기능 활성화를 진행할 수 있다. 첫 활성화 땐 30일 무료 평가판으로 자동 등록되어 무료로 사용할 수 있다.

Macie 활성화 시작 화면

최초 활성화를 하면 목적에 맞게 현재의 권한으로 접근할 수 있는 S3 버킷의 상태를 살펴볼 수 있다.

Macie의 대시보드

제일 먼저 설정해야 할 부분은 검색 결과이다. 민감한 데이터를 검색하고 찾아낸 결과를 새로운 S3 버킷에 저장한다. 본 포스트에서는 테스트를 위해서 오레온 데이터 센터를선택했지만, 보안 분야에서 찾아낼 민감한 데이터란 개인정보가 주류를 이루기에 개인정보보호법상 서울로 데이터센터로 변경해 진행하는 것을 추천한다.

Macie 전용 S3 버킷 설정 시작 화면

말 그대로 민감한 데이터이기에 필수로 암호화 기능을 이용해야 한다. 새로운 S3에서 직접 만들때 기본 암호화에서 AWS-KMS 기능을 활성화하고 키와 연동하여 생성하고, Macie에서 해당 버킷과 암호키를 선택하여 구성할 수 있다. 아니면 간단하게 Macie를 생성할 때 새로운 S3 버킷과 암호키 지정하여 새로운 S3 버킷을 생성할 수 있다. 이 포스트에서는 새로운 버킷과 새로운 암호화키를 생성하는 방식으로 진행한다. 다음과 같이 버킷 생성을 선택하고 버킷 이름을 지정한다.

버킷 생성으로 설정 시 화면

자동으로 KMS 암호화가 활성화 되는데, 우측 상단의 새 KMS 키 생성을 선택하여 새로운 암호키를 생성한다. 키는 대칭키로,

Macie가 사용할 키 유형 설정

키 이름을 지정하고

Macie가 사용할 키 별칭 설정

IAM 롤 설정이 없고 1인 사용자이기에 키 관리자는 선택하지 않고 굳이 개인 사용자가 마스터 키를 가질 필요도 없으니 CMK(Customer Master Key)는 선택 없이 넘긴다. (참고로 키 관리를 AWS에 맡기면 비용이 발생한다.)

Macie가 사용할 S3 버킷의 키 관리 정의
Macie가 사용할 S3 버킷의 키 사용 권한 정의

마지막으로 키 정책 검토인데, 생성한 키를 Macie가 사용할 수 있도록 정책을 편집한다. 삽입할 정책은 다음과 같으며, Json 구조에 맞게 잘 삽입한다.

{ 
    "Sid": "Allow Macie to use the key", 
    "Effect": "Allow", 
    "Principal": { "Service": "macie.amazonaws.com" }, 
    "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], 
    "Resource": "*" 
}

Storing and retaining sensitive data discovery results with Amazon Macie에서 Macie의 정책을 키에 삽입하는 방법을 참고할 수 있다. 키를 생성했다면 다시 Macie로 돌아와서 KMS 키 별칭 끝의 Refresh 아이콘을 클릭하고 새로 생성한 키를 선택한다.

Macie 저장소 설정 완료 단계

설정이 잘 되었다면 저장을 눌렀을 때 다음과 같은 화면이 보여진다.

Amazon Macie 결과 저장소 생성 완료

삽질

Macie를 이용해 S3 버킷을 즉흥적으로 생성할 때 Macie가 암호키를 사용할 수 있도록 권한을 부여하지 않은채 생성 버튼을 누른다면, S3 버킷은 생성되고 암호키는 사용하지 못한채 "권한이 없다"는 에러메시지가 출력된다.

'Information Technology > Cloud' 카테고리의 다른 글

Amazon Macie (2/2) - 활용편  (0) 2020.09.13
Amazon Macie (1/2) - 구축편  (0) 2020.09.13

+ Recent posts