S3 보안 설정
1. Bucket Policy
- 버킷 단위 (버킷 안의 파일 하나하나의 설정은 불가능)
- JSON 형식
- Version: Bucket Policy의 문법이 언제 날짜 기준으로 확정된 문법을 사용하는지
--> 2008-10-17 버전 후 2012-10-17 버전이 있는데, 그 뒤로는 업데이트가 안됐음 - Id: Bucket Policy의 고유 아이디, 자동으로 부여되는 경우가 많음
- Statement
- Sid: 각 Statement의 고유 아이디, Optional
- Effect: Allow or Deny
- Principal: Bucket Policy의 적용대상
- Action: Bucket Policy에서 허용한 Action
- Resource: 무엇에 대해서 설정 할것이냐
- Condition: 어떤 조건 하에
2. ACL (Access Control List)
- 파일 단위로 세세한 설정 가능
3. Access Log 전송 가능
- Access Log: 버킷의 모든 파일들에 대한 접근 기록
- 다른 버킷 혹은 다른 계정으로 전송 가능
4. MFA(이중인증)를 활용해 삭제 방지 기능
S3 암호화
- S3의 데이터의 암호화는 3가지 암호화로 구성
1. On Transit(전송중에)
- SSL / TLS (HTTS)
2. At Rest (저장이 되었을 때)
- SSE S3: S3에서 알아서 암호화
- SSE KMS: KMS(Key Management Service) 서비스를 이용해 암호화
- SSE C: 클라이언트에서 제공한 암호를 통해 암호화
3. 클라이언트가 직접 암호화
S3 공유
- S3 공유는 3가지 방법으로 가능
1. Bucket Policy / IAM
- 프로그램 액세스만 가능 (콘솔 로그인 해서는 불가능)
- 버킷 단위
2. ACL (Access Control List)
- 프로그램 액세스만 가능
- 파일 단위
3. IAM 크로스 어카운트
- 콘솔 / 프로그램 액세스 가능
S3 Cross Region Replication
- 다른 Region으로 복제 가능
- 동일한 Region으로 복제 불가능
- 버저닝이 활성화 되어 있어야 함 (원본, 대상 모두)
- 복제기능 활성화 전 데이터는 복제되지 않음
- 버전 삭제 혹은 파일 삭제는 복제되지 않음
S3 수명주기
-
"~~시간이 지난 후 ~~을 하라" 라는 명령
ex) 30일이 지난 후 삭제
ex) 30일이 지난 후 Glacier로 옮기기 -
버전과 연동 가능
-
예전 버전과 현재 버전에 대해 설정 가능
-
파일이 업로드 / 삭제 / 업데이트 되었을 때 Lambda 호출 가능
S3 Transfer Acceleration
- AWS의 네트워크를 활용해 각 엣지 로케이션에서 더욱 빠른 업로드 가능
S3 Athena
-
S3를 SQL 언어로 조회할 수 있는 서비스
- SQL 쿼리 사용
- Serverless
- 로그를 조회하거나 분석하는데 주로 활용
연습문제
참고
쿄쿄쿄