[AWS RDS/Aurora] 다른 계정으로 암호화된 AWS RDS 스냅샷 공유 실패 (KMS 고객 관리 키 생성)

☄️ 문제

Aurora 스냅샷 생성(수동) 후, 해당 스냅샷을 다른 계정으로 공유하고자 하였으나

[ Save ] 버튼 자체가 아래 사진처럼 비활성화되어 있어 공유가 불가능.

EBS 볼륨이 암호화되어 있는 경우, 동일하게 EC2 AMI도 다른 계정으로 공유가 불가능하다.

 

 

 

🌎 환경

• DB 인스턴스
  • 엔진 : Aurora MySQL (8.0.mysql_aurora.3.02.0)
  • 스토리지 암호화 : 활성화(Enabled)
    • AWS KMS Key : Default Master Key (aws/rds)

 

 

✏️ 원인

• AWS RDS/Aurora 생성 시, 별도의 설정을 하지 않으면 아래 그림과 같이 부가 설정 섹션에서 암호화 디폴트 설정을 이용하면 AWS 기본 암호화 키를 이용하여 암호화가 활성화된다.

RDS 생성 > Additional Configuration > Encrytion

• AWS 기본 암호화 키를 이용하여 스토리지를 암호화하는 DB 인스턴스에서 생성한 스냅샷은 다른 계정으로 공유할 수 없다.

 

---

 

🔫 해결 방법

AWS KMS의 키 정책(Key Policy)에서 접근을 허용하는 Principal에 공유하고자하는 계정을 추가해야 한다.

그러나, AWS 관리형 키는 정책 변경이 불가능하다.

따라서 AWS KMS 콘솔에서 고객 관리형 키(CMK)를 생성해야 한다.

 

1.  AWS 고객 관리 키(CMK)를 생성한다.

• 키에 대한 액세스를 허용하기 위해 스냅샷을 공유하려는 계정을 추가한다. 
  • 다른 계정의 사용자가 CMK를 사용하도록 허용

CMK 생성 > [step 4] Definde usage permissions에서 공유할 다른 AWS Account를 추가한다.

 

 

2.  공유하려는 스냅샷을 복사한다.

• 복사 시, AWS KMS Key에 1번에서 생성한 CMK를 이용한다.

스냅샷 복사 시, AWS KMS Key를 CMK로 변경한다.

 

3.  2번에서 만든 스냅샷을 공유한다.

• 공유 성공~!

 

⚠️ 참고 ⚠️
암호화된 EBS 볼륨을 포함한 EC2 AMI도 동일한 방법으로 CMK를 이용하여 다른 계정으로 공유 가능하다.

 

---

 

🔗 참고 링크

1. DB 스냅샷 공유
2. 키 정책 변경