[SAA] Amazon S3 - Security

Blue·2024년 2월 22일
0

SAA

목록 보기
13/25

Encryption

객체 암호화 부분이다.
4가지의 방법이 있다고 한다.
그중 크게 두개로 나뉘고
서버 측에서 암호화,클라이언트에서 암호화로 나뉘고
서버측에서의 암호화는 S3 에서 관리하는 Key 를 이용한 암호로 SSE s3,
KMS key 로 암호화하는 SSE-KMS, 우리가 가진 KEy로 암호화하는 SSE-C 가 있다.

그리고 클라이언트 측에서의 암호화 이렇게 4개로 나뉜다.

SSE S3

아마존 S3에서 관리하는 키를 사용해서 암호화한다.
서버측이고 이것이 가장 기본 으로 암호화된다고 한다.

위 사진을 보면 알겠지만 S3 가 key를 가지고 있고 암오화가 된다.

SSE KMS

kMS 는 키 관리 서비스를 의미한다고 한다 그래서 이 서비스를 사용해서 직접 자신의 키를 관리한다.
KMS 사용하면 CloudTrail 로 키사용검사가 가능하다고 한다.

KMS 에서 키를 관리하는 이유는 어떤 사람이 키에 접근 가능하게 하고 어떤 사람은 접근 못하게 하기 위함.

SSE C

Key 가 외부에서 관리되어 진다고 한다. 그리고 AWS 로 키를 전달한다.
암호화 할때만 키를 사용하고 그 이후에는 키를 폐기함.

Client Side Encryption

Amazon S3 Client Side Encryption Library 를 사용해서 암호화 한다고 한다.#

이렇게 클라이언트가 AWS 가 제공하는 SDK 사용해서 암호화 한다.
그래서 클라이언트 측에서 암호화가 되고 그것을 S3 버킷에 업로드한다.

Encryption in transit(SSL/TLS)

통신 암호화 방식으로 SSL 과 TLS 가 사용된다고 한다.
HTTPS 를 사용하면 무조건 암호화 되어 전송되기 떄문에 전송중 암호화라고 한다.

SSE-C 사용할려면 무조건 HTTPS 사용해야한다고한다.

CORS

CORS 는 교차 출처 리소스 공유라고한다.
메인 Origin 을 방문하는 동안 다른 origin 에 대한 요청을 허용 하거나 거무하는 웹 기반 보안 메커니즘이다.

다른 Origin 이 Cors 헤더 사용해서 요청하지 않ㄴ는 한 해당 요청이 안된다고 한다.

이거 보면 Web Browser 는 index.html 을 요청하고 가져올수있는데 만약 파일이 다른 출처에 있다면 CORS 설정을 해줘야한다.

Pre Signed URLS

https://ssunw.tistory.com/entry/%EA%B3%A0%EA%B8%89-S3-%EB%B0%8F-Athena-S3-pre-signed-URLs

읽어보면 좋을듯.

AWS 외부의 사용자에게 한 파일에 대한 엑세스 권한을 부여해야할때 사용한다고 한다.

S3 Glacier Vault Lock

WORM 이란 한번 쓰고 많이 읽는다는 뜻이다. 이걸 적용하기 위해 Glacier Vault Lock 을 사용한다.
편집 정책을 아예 잠궈서 더이상 변경하지 못하게한다.

S3 Object Lock

Glacier Valut Lock 과 비슷한 기능이다.
이 객체 잠금을 할수 있는 두가지 기능이 있는데
Compliance 모드랑 Governance 모드이다.

Compliance 모드는 어떤 사용자도 보호된 객체 버전을 삭제할수없게 하는것이고.
Governance 모드는 권한이 없으면 삭제할수 없게하는것이다.

또 잠그지말고 보존할수 있는 모드도 있다.
Retention period 는 특정 기간 동안 객체를 잠궈주는것이다.
Legal Hold 는 기간이 정해저있지 않아서 계속해서 객체를 잠궈준다.

profile
할수있다가 아닌 해야한다!!

0개의 댓글