✅ Amazon S3
✅ S3의 암호화
퍼블릭 액세스 용도가 아니라면 S3에 저장할 데이터는 항상 암호화해야 한다.
S3에 저장 중인 데이터를 보호하기 위해서 암호화 키를 사용할 수도 있고 S3에서 다른 위치로 전송하는 데이터를 보호하기 위해서 Amazon 암호화 API 엔드포인트를 사용할 수도 있다.
저장 중 데이터는 서버 측 암호화나 클라이언트 측 암호화를 사용해서 보호할 수 있다.
📌 서버측 암호화
'서버 측' 이라는 말은 S3 플랫폼을 의미한다.
데이터 객체를 암호화해서 디스크에 저장하는 작업과 데이터를 가져올 때 적합한 인증으로 복호화하는 작업이 AWS에서 이뤄진다.
- SSE-S3 사용
- Amazon S3가 관리하는 암호화 키를 사용하면 AWS가 자체 엔터프라이즈 표준 키를 사용해 암호화와 복호화 프로세스의 모든 단계를 관리한다.
- SSE-KMS 사용
- AWS KMS-관리형 키를 사용하는 서버측 암호화를 사용하면 SSE-S3가 제공하는 기능에 더해 완벽한 키 사용 추적과 봉투 키를 사용할 수 있다.
- AWS KMS 서비승 자체 키를 가져와서 사용할 수도 있다.
- SSE-C 사용
- 고객 제공 암호화 키에 의한 서버측 암호화는 고객이 S3에 제공한 자체 키로 객체를 암호화한다.
📌 클라이언트 측 암호화
S3로 데이터를 전송하기 전에 암호화할 수 있다.
AWS KMS-관리형 고객 마스터 키(KMS-CMK)를 사용하며, 업로드 전에 고유 키로 객체를 암호화한다.
또한 S3 암호화 클라이언트에서 제공된 클라이언트 측 마스터 키를 사용할 수도 있다.
복잡한 암호화 절차를 단순화하기 때문에 서버 측 암호화를 많이 이용하지만, 회사나 조직의 규정 또는 법규의 제한으로 암호화 키의 모든 권한을 가지고 있어야 할 수도 있다. 이 경우 클라이언트 측 암호화를 사용해야 한다.
✅ 로깅
S3 이벤트 추적을 로그 파일에 저장하는 기능은 처음에는 비활성화되어 있다.
로깅을 활성화 할 때는 원본 버킷(활동을 추적할 버킷)과 대상 버킷(로그를 저장할 버킷)을 지정해야 한다.
S3 생성 로그는 구성하는 다음과 같은 작업 상세 항목이 기본으로 나타난다.
- 요청자 계정과 IP 주소
- 원본 버킷 이름
- 요청 동작(GET, PUT 등)
- 요청 개시 시간
- 응답 상태(오류 코드 포함)
S3 버킷은 CloudWatch나 CloudTrail 같은 다른 AWS 서비스가 로그 또는 다른 객체(EBS 스냅샷 등)를 저장하는 데에도 사용된다.
✅ 버전 관리
버킷 수준에서 버전 관리를 활성화하면 덮어쓴 이전 객체를 보존할 수 있어서 기존 버전에 계속 액세스할 수 있다.
이로써 실수로 기존 데이터를 잃게되는 문제를 해결할 수 있지만 아카이브가 늘어나는 것은 감수해야 한다.
여기서 수명 주기 관리가 필요해진다.
✅ 수명 주기 관리
버킷에서 수명 주기 규칙을 구성하면 지정한 기간이 경과했을 때 자동으로 객체가 다른 스토리지 클래스로 옮겨진다.
EX) 새로운 첫 객체는 첫 30일 동안 S3 Standard 클래스에서 보관되고, 30일이 지나면 더 저렴한 One Zone IA로 옮겨진다.
✅ 미리 서명된 URL
외부 액세스가 제한된 프라이빗 객체에 임시로 액세스할 수 있게 할 때, 미리 서명된 URL을 사용할 수 있다.
미리 서명된 URL은 지정한 기간만 사용할 수 있으며 기간이 지나면 사용할 수 없고, 프로그래밍 방식으로 객체에 액세스할 수 있도록 미리 서명된 URL을 생성하는 명령을 코드에 포함해서 빌드할 수 있다.
✅ S3 Select와 Glacier Select
Select -S3나 Glacier에 저장한 데이터에 액세스할 수 있는 또 다른 방법
SQL과 유사한 쿼리로 저장된 객체에서 관련 데이터만 검색할 수 있으므로 훨씬 효율적이고 저렴하게 작업할 수 있다.
✅ S3 VS Glacier
| S3 | Glacier | |
| 단일 객체 크기 | S3 단일 객체 크기는 5TB | Glacier는 40TB까지 대형 아카이브를 제공 |
| 암호화 유무 | 암호화는 선택 사항 | 암호화가 기본 |
| 키의 형태 | 인간이 읽을 수 있는 이름으로 키를 생성 | 기계가 만든 ID가 주어진다 |
| 데이터 get 시간 | 거의 즉시 액세스 가능 | 몇 시간이 걸릴 수도 있음 |
✅ 기타 스토리지 관련 서비스
✅ AWS Storage Gateway
온프레미스의 로컬 백업과 아카이브 운영 요구 사항을 클라우드 스토리지 서비스를 사용해 해결하려면 구성이 복잡해진다.
AWS Storage Gateway를 사용해 소프트웨어 방식의 게이트웨이 어플라이언스로 다양한 가상 연결 인터페이스를 구현해서 이러한 요구를 해결할 수 있다.
테이프 드라이브 같은 물리적 백업 장치를 연결하는 것처럼 어플라이언스를 로컬 장치에 연결하면 데이터를 S3나 EBS와 같은 AWS 플랫폼에 저장할 수 있다.
'Certificate > AWS SAA' 카테고리의 다른 글
| 오아클 AWS SAA Dump 문제 (0) | 2022.07.01 |
|---|---|
| [AWS] Elastic Compute Cloud & Elastic Block Store (0) | 2022.05.18 |
| [AWS] 서비스 개념 정리 (6) (0) | 2022.02.28 |
| [AWS] 서비스 개념 정리 (5) (0) | 2022.02.25 |
| [AWS] 서비스 개념 정리 (4) (0) | 2022.02.24 |
영차영차 성장 블로그
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!
![[AWS] Elastic Compute Cloud & Elastic Block Store](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FX07wH%2FbtrCrADvdyv%2FZQo34o9uINgiMyan98z9a1%2Fimg.png)
![[AWS] 서비스 개념 정리 (6)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbKeahm%2FbtruKjbfcNc%2Fjqi8WRCTJA57odUIQHucK0%2Fimg.png)
![[AWS] 서비스 개념 정리 (5)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcOqbmJ%2FbtrunOjsqB1%2Fl4hB2w5PSVKj0wnDBZ7wK0%2Fimg.png)