SAA #2, IAM & S3 - 2

S3 Security

• 암호화는 Client Side와 Server Side로 나뉘며 Client Side는 Client에서 S3로 전송될 때의 암호화(Data at transit)을, Server Side는 S3에 저장될 때의 암호화(Data at rest)를 의미함

• Server Side Encryption
  • SSE-S3 : S3의 고유한 키로 암호화를 실시하며 암호화 주체가 S3가 되는 방식. 암호 알고리즘은 AES-256.
  • SSE-KMS : Key Management Service를 이용하여 객체를 암호화하는 방식으로 KMS 고객 마스터 키(CMK)를 활용함. SSE-S3와 달리 고객에 키를 제어할 수 있음
  • SSE-C : 고객(Customer)가 제공하는 키로 암호화를 진행하는 방식으로 제공된 암호화 키를 사용하여 디스크를 쓰거나 해독할 때 객체에 액세스할 때의 모든 암호화를 관리함. 제공된 암호화키는 저장되지 않음
• Client Side Encryption
  • S3로 데이터를 보내기 전의 암호화
  • KMS에 저장된 고객 마스터키를 사용하여 암호화
  • 애플리케이션 내 마스터 키를 사용하여 암호화

S3 Versioning

• 객체의 모든 버전을 저장함
• 한 번 사용하면 해제 불가능, 중지만 가능
• Life Cycle과 통합하여 사용하며 MFA Delete 제공
• 최신 버전의 오브젝트를 삭제하더라도 Versioning에 남아있음
• 최신 버전이 완전 삭제되면 그 직전 버전이 최신 버전이 됨

S3 Life Cycle

• 일정 기간이 지나면 자동적으로 다른 스토리지 티어로 이동하게 하는 서비스
• 현재 버전과 이전 버전(Versioning)에 적용 가능
• 만료 구성(Configure  Expiration)을 통해 일정 기간이 지난 현재 버전과 이전 버전의 오브젝트 삭제 가능
  • 현재 버전 : 지정된 생성기간 이후 현재 버전의 오브젝트 삭제
  • 이전 버전 : 객체의 (이전 버전으로) 지정된 기간 후 이전 버전의 오브젝트 삭제
• 불완전한 멀티파트 업로드를 지원하여 S3에 제대로 업로드되지 않은 데이터를 삭제할 수 있음

S3 CRR(Cross Region Replication)

• Source S3 Bucket와 Destination S3 Bucket에 Versioning이 활성화되어야 함
• 복제할 권한을 부여할 IAM Role 필요(GetReplicationConfiguration, ListBucket)
• 복제 구성을 추가하기 전의 파일들은 복사되지 않음
  • 복제 구성을 추가한 후 생성된 객체들을 대상으로 함
• 연속적으로 업데이트되는 파일들은 자동으로 복제됨
• Delete Marker, 암호화된 객체는 복제되지 않음

S3 Transfer Acceleration

• S3에 직접 업로드하는 것이 아닌 Cloudfront의 Edge Location Network를 이용하여 Edge Location에 업로드하고 그것을 S3로 옮기는 서비스