[Amazon S3 Security] Glacier Vault Lock & S3 Object Lock

데이터 보호는 오늘날의 디지털 환경에서 필수 요소입니다. 데이터를 안전하게 보관하고 규정을 준수하는 것은 조직의 법적 요구 사항을 충족하는 데 매우 중요합니다. AWS는 이러한 요구를 충족하기 위해 S3 Glacier Vault Lock과 S3 객체 잠금 기능을 제공합니다. 이 글에서는 두 기능의 차이점과 사용 사례를 살펴보겠습니다.

S3 Glacier Vault Lock

S3 Glacier Vault Lock은 WORM(Write Once Read Many) 모델을 채택하여 데이터를 한 번 기록한 후에는 수정이나 삭제할 수 없도록 잠그는 기능입니다. 이는 규정 준수와 데이터 보존을 목적으로 사용되며, 보존된 데이터를 무단으로 변경하거나 삭제할 수 없게 보호합니다.

Vault Lock을 사용하는 과정은 간단합니다:
1. 볼트 잠금 정책 생성: 먼저 Glacier 볼트에 Vault Lock 정책을 설정합니다.
2. 정책 잠금: 정책을 설정한 후 잠금하면, 이후에는 누구도 해당 정책을 변경하거나 삭제할 수 없습니다.

이 방식은 장기 데이터 보존이 필요한 금융, 의료 또는 정부 기관에서 매우 유용합니다. 일단 데이터가 Glacier 볼트에 저장되면, Vault Lock 정책이 적용되어 데이터는 삭제되지 않으며, 관리자조차도 이를 변경할 수 없습니다. 이러한 이유로 S3 Glacier Vault Lock은 법률적 요구 사항을 충족하고, 규정 준수 데이터를 안전하게 보호하는 데 적합합니다.

S3 객체 잠금

S3 객체 잠금(S3 Object Lock)은 Glacier Vault Lock보다 조금 더 복잡하지만, 유연한 데이터 보호를 제공합니다. 이 기능은 특정 S3 버킷 내에서 각 객체에 대해 개별적으로 잠금을 설정할 수 있으며, 역시 WORM 모델을 기반으로 합니다.

S3 객체 잠금을 활성화하려면 먼저 버저닝(Versioning) 기능을 활성화해야 합니다. 이 기능을 통해 각 객체의 버전을 관리하며, 객체의 삭제 및 덮어쓰기를 방지할 수 있습니다.

S3 객체 잠금은 두 가지 보존 모드를 제공합니다:

1. 규정 준수 모드(Compliance Mode): 이 모드는 Glacier Vault Lock과 유사하게, 누구도 객체를 덮어쓰거나 삭제할 수 없습니다. 규정 준수 모드에서는 관리자조차도 보존 모드를 변경하거나 보존 기간을 단축할 수 없으며, 엄격한 데이터 보호가 필요할 때 사용됩니다.

2. 거버넌스 모드(Governance Mode): 거버넌스 모드는 규정 준수 모드보다 유연합니다. 대부분의 사용자는 객체를 변경하거나 삭제할 수 없지만, 특별한 권한을 가진 관리자는 보존 기간을 변경하거나 객체를 삭제할 수 있습니다. 이는 규정 준수보다는 데이터 관리에 중점을 두고 있으며, 일부 유연성을 제공합니다.

두 모드 모두 보존 기간을 설정해야 하며, 이 기간 동안 객체는 보호됩니다. 필요한 경우 보존 기간을 연장할 수 있어, 장기적으로 데이터를 안전하게 관리할 수 있습니다.

법적 보존(Legal Hold)

S3 객체 잠금의 추가적인 기능으로 법적 보존(Legal Hold) 기능이 있습니다. 법적 보존은 보존 기간과 관계없이 객체를 무기한으로 보호하는 기능입니다. 중요한 데이터를 법적 분쟁이나 규정 준수를 위해 보호해야 할 때 사용되며, 법적 보존이 설정된 객체는 영구적으로 보호됩니다.

법적 보존은 s3:PutObjectLegalHold IAM 권한을 가진 사용자가 설정하거나 제거할 수 있습니다. 예를 들어, 법적 조사가 끝난 후 관리자는 해당 권한을 사용하여 법적 보존을 해제할 수 있습니다. 이 기능은 필요에 따라 데이터를 보호하고, 조사 완료 후 유연하게 관리할 수 있는 장점이 있습니다.

마치며

S3 Glacier Vault Lock과 S3 객체 잠금 기능은 모두 데이터 보호와 규정 준수 요구 사항을 충족하는 데 매우 유용한 도구입니다. Glacier Vault Lock은 단순하고 강력한 보호를 제공하며, 규정 준수가 필요한 상황에서 데이터를 안전하게 보존할 수 있습니다. 반면 S3 객체 잠금은 좀 더 유연한 방식으로 데이터를 보호하며, 규정 준수 및 거버넌스 모드를 통해 다양한 보호 수준을 제공합니다. 또한 법적 보존 기능을 통해 중요한 데이터를 무기한으로 보호할 수 있습니다.