Amazon S3 보안 및 액세스 관리

Amazon S3의 데이터를 보호하기 위해 기본적으로 사용자는 직접 생성한 S3 리소스에 대한 액세스 권한만 가집니다. 사용자를 생성하고 사용자의 액세스를 관리하는 AWS Identity and Access Management(IAM), 권한 있는 사용자에 대해 개별 객체를 액세스 가능하게 만드는 액세스 제어 목록(ACL), 단일 S3 버킷 내 모든 객체에 대한 권한을 구성하는 버킷 정책, 임시 URL을 사용하여 다른 사용자에게 기간 제한 액세스를 부여하는 쿼리 문자열 인증 등의 액세스 관리 기능을 조합하여 사용함으로써 다른 사용자에게 액세스 권한을 부여할 수 있습니다. 또한 Amazon S3는 누가 어떤 데이터에 액세스하는지를 완벽하게 볼 수 있도록 S3 리소스에 대한 요청 목록을 표시하는 감사 로그를 지원합니다.

S3 관리 콘솔에서 클릭 몇 번이면 S3 퍼블릭 액세스 차단 기능을 계정의 모든 버킷(기존 및 앞으로 생성되는 모든 신규 버킷)에 적용하여 객체에 대한 퍼블릭 액세스를 차단할 수 있습니다. 모든 새 버킷에는 기본적으로 퍼블릭 액세스 차단이 활성화되어 있습니다. 계정의 모든 기존 버킷에 대한 액세스를 제한하려면 계정 수준에서 퍼블릭 액세스 차단을 활성화합니다. S3 퍼블릭 액세스 차단 설정은 퍼블릭 액세스를 허용하는 S3 권한을 재정의하므로, 객체가 추가되거나 버킷이 생성되는 방식과 관계없이 계정 관리자가 중앙 집중식 제어를 손쉽게 설정하여 보안 구성의 편차를 방지할 수 있습니다.

Amazon S3 객체 잠금은 고객이 정의한 보존 기간 동안 객체 버전 삭제를 차단하므로, 규제 준수 또는 데이터 보호를 위한 추가 계층으로 보존 정책을 적용할 수 있습니다. 워크로드를 기존 WORM(Write Once Read Many) 시스템에서 Amazon S3로 마이그레이션하고 객체 및 버킷 수준에서 S3 객체 잠금을 구성하여 사전 정의된 유지 기한 날짜 또는 법적 보존 날짜 전에 객체 버전이 삭제되지 않도록 할 수 있습니다.

Amazon S3 객체 소유권은 액세스 제어 목록(ACL)을 사용 중지하여 모든 객체의 소유권을 버킷 소유자로 변경하고 S3에 저장된 데이터에 대한 액세스 관리를 단순화합니다. S3 객체 소유권 버킷 소유자 적용 설정을 구성하면 ACL이 더 이상 버킷과 그 안의 객체에 대한 권한에 영향을 미치지 않습니다. 모든 액세스 제어는 리소스 기반 정책, 사용자 정책 또는 이들의 조합을 사용하여 정의됩니다. 새 버킷에 대해서는 ACL이 자동으로 사용 중지됩니다. IAM 기반 버킷 정책으로 마이그레이션할 때 S3 객체 소유권을 사용하도록 설정하기 전에 S3 인벤토리를 사용하여 버킷의 ACL 사용량을 검토할 수 있습니다. 자세한 내용은 객체 소유권 제어를 참조하세요.

기본적으로, 버킷, 객체, 관련 하위 리소스 등 모든 Amazon S3 리소스는 비공개이며, 이를 생성한 AWS 계정인 리소스 소유자만 해당 리소스에 액세스할 수 있습니다. Amazon S3는 크게 리소스 기반 정책과 사용자 정책으로 분류되는 액세스 정책 옵션을 제공합니다. 리소스 기반 정책, 사용자 정책 또는 두 가지 정책의 조합을 사용하여 Amazon S3 리소스에 대한 사용 권한을 관리하도록 선택할 수 있습니다. 기본적으로 S3 객체는 이 계정이 버킷 소유자와 다른 경우를 포함하여 객체를 생성한 계정이 소유합니다. S3 객체 소유권을 사용하여 액세스 제어 목록을 사용 중지하고 이 동작을 변경할 수 있습니다. 그러면 버킷 소유자가 버킷의 각 객체를 소유합니다. 자세한 내용은 Amazon S3의 Identity and Access Management를 참조하세요.

Amazon S3에서 Amazon Macie를 사용하여 중요한 데이터를 대규모로 검색하고 보호할 수 있습니다. Macie는 데이터를 식별하고 분류할 수 있도록 버킷을 검색하여 S3 버킷의 전체 인벤토리를 자동으로 제공합니다. 고객은 개인 식별 정보(PII)(예: 고객 이름 및 신용카드 번호)와 GDPR 및 HIPAA와 같은 개인 정보 보호 규정에 의해 정의된 범주를 비롯하여 민감한 데이터 유형에 해당하는 데이터가 열거된 조치 가능한 보안 결과를 수신합니다. 또한 Macie는 암호화되지 않았거나 공개적으로 액세스할 수 있거나 조직 외부의 계정과 공유되는 모든 버킷에 대해 버킷 수준의 예방적 제어 기능을 지속적으로 자동 평가하여 사용자가 버킷의 의도하지 않은 설정을 신속하게 처리할 수 있도록 지원합니다.

Amazon S3는 모든 버킷에 업로드되는 모든 객체를 자동으로 암호화합니다. 객체 업로드에 대해 Amazon S3는 SSE-S3(기본 암호화 수준), SSE-KMS, DSSE-KMS 및 SSE-C라는 4가지 키 관리 옵션의 서버측 암호화와 클라이언트측 암호화를 지원합니다. Amazon S3는 권한 없는 사용자가 데이터에 액세스하지 못하게 하기 위해 유연한 보안 기능을 제공합니다. VPC 엔드포인트를 사용하여 Amazon Virtual Private Cloud(VPC)에서 S3 리소스에 연결할 수 있습니다. S3 인벤토리를 사용하여 S3 객체의 암호화 상태를 확인할 수 있습니다(S3 인벤토리에 대한 자세한 정보는 스토리지 관리 참조).

동영상: Amazon S3 데이터 암호화 개요 »

Trusted Advisor는 고객의 AWS 환경을 검사한 후 보안 결함을 해결하는 데 도움이 될 여지가 있을 때 권장 사항을 알려드립니다. 

Trusted Advisor에는 Amazon S3 버킷의 로깅 구성, 공개 액세스 권한이 있는 Amazon S3 버킷에 대한 보안 검사, 버전 관리가 활성화되지 않았거나 버전 관리가 일시 중단된 Amazon S3 버킷에 대한 내결함성 검사 등의 Amazon S3 관련 검사 기능이 포함되어 있습니다.

AWS PrivateLink for S3를 사용하면 안전한 가상 네트워크 내에서 프라이빗 엔드포인트로서 Access Amazon S3에 직접 액세스할 수 있습니다. 온프레미스 또는 클라우드에서 Virtual Private Cloud(VPC)의 프라이빗 IP 주소를 사용해 S3에 연결함으로써 네트워크 아키텍처를 간소화합니다. 더 이상 온프레미스에서 S3에 액세스하기 위해 퍼블릭 IP 주소를 사용하거나 방화벽을 구성하거나 인터넷 게이트웨이를 구성할 필요가 없습니다.

지원되는 체크섬 알고리즘(SHA-1, SHA-256, CRC32 또는 CRC32C)을 선택하여 업로드 및 다운로드 요청에 대한 데이터 무결성을 확인할 수 있습니다. Amazon S3에서 데이터를 저장 또는 검색함에 따라 체크섬을 자동으로 계산 및 확인하고 언제라도 GetObjectAttributes S3 API 또는 S3 인벤토리 보고서를 사용하여 체크섬 정보에 액세스합니다.

S3 데이터 무결성 확인 시작하기 자습서

테크 톡: Amazon S3에서 데이터 무결성 확인을 위한 체크섬 시작하기

블로그: 확장 가능한 체크섬 구축

블로그: Amazon S3의 기존 객체에 대한 추가 체크섬 사용 및 검증