Amazon S3는 다양한 데이터를 안전하게 저장할 수 있는 강력한 스토리지 서비스입니다. 하지만 민감한 데이터의 보호를 위해 더 높은 수준의 보안이 필요한 경우가 많습니다. 이때 Amazon S3에서 제공하는 중요한 보안 기능 중 하나가 MFA Delete입니다. 이 글에서는 MFA Delete가 무엇인지, 언제 필요하며, 어떻게 설정할 수 있는지 알아보겠습니다.
MFA Delete란
MFA Delete는 Multi-Factor Authentication(MFA)을 활용하여 Amazon S3 버킷에서 수행하는 중요한 작업을 추가적으로 보호하는 기능입니다. MFA는 사용자가 코드를 입력하는 방식을 통해 본인 인증을 추가적으로 요구하는 보안 메커니즘입니다. MFA Delete를 활성화하면 중요한 작업을 수행하기 전에 반드시 이 코드를 입력해야 합니다.
MFA 코드는 보통 두 가지 방식으로 생성됩니다:
- Google Authenticator와 같은 애플리케이션이 설치된 모바일 장치
- MFA 하드웨어 장치에서 생성된 코드
MFA Delete는 언제 필요할까
MFA Delete는 Amazon S3 버킷에서 객체 버전의 영구 삭제와 버저닝 중단과 같은 파괴적인 작업을 방지하기 위해 설계되었습니다. 두 작업 모두 데이터 손실의 가능성이 있기 때문에, 보호를 위해 추가적인 인증이 요구됩니다.
-
객체 버전 영구 삭제: 버저닝이 활성화된 S3 버킷에서 객체의 특정 버전을 영구적으로 삭제하려면 MFA Delete가 필요합니다. 이 설정은 실수로 중요한 데이터를 삭제하는 것을 방지할 수 있는 추가적인 보안 계층입니다.
-
버저닝 중단: S3 버킷에서 버저닝을 중단하는 것은 중요한 설정 변경 작업입니다. 버저닝이 중단되면 새로운 객체의 버전 관리가 더 이상 이루어지지 않으므로, 데이터를 보호하기 위해 이 작업을 수행하기 전에 MFA 인증이 필요합니다.
하지만, 버저닝 활성화 또는 삭제된 객체 버전 나열과 같은 작업은 데이터 손실의 위험이 없으므로 MFA Delete가 필요하지 않습니다.
MFA Delete를 활성화하는 방법
MFA Delete를 사용하려면 먼저 버저닝을 활성화해야 합니다. 버저닝은 객체의 여러 버전을 관리할 수 있게 해주는 기능으로, MFA Delete가 이와 관련되어 있기 때문에 필수적인 전제 조건입니다.
중요한 점은 MFA Delete는 오직 버킷 소유자, 즉 루트 계정만이 활성화하거나 비활성화할 수 있다는 것입니다. 루트 계정은 AWS 계정의 최상위 권한을 가진 계정으로, 일반적으로 많은 작업을 수행할 때 루트 계정을 사용하지 않는 것이 보안상 더 안전합니다. 따라서 MFA Delete 설정 작업이 다소 복잡하게 느껴질 수 있습니다.
마치며
MFA Delete는 Amazon S3의 데이터를 보호하기 위한 중요한 추가 보안 기능입니다. 특히 중요한 데이터를 다루는 경우, 객체 버전의 영구 삭제나 버저닝 중단 작업이 사용자 실수나 보안 사고로부터 보호될 수 있도록 MFA Delete를 적극적으로 활용하는 것이 좋습니다.
