배경
운영 중인 웹사이트들에 이미지들만 담아두는 S3 버킷을 사용 중인데, 퍼블릭으로 되어 있어 신경이 쓰였다. 미디어만 CDN을 적용시키고 S3 액세스를 차단할 수 있는 방법을 찾아보았다.
그리고 적용하는 와중에 2023년 4월부터 바뀌는 옵션들이 많았고, AWS에서 이를 안내중이였다. 차이점 몇가지를 적어놓으려 한다.
S3 변경점
2023년 4월부터 생성되는 버킷은 퍼블릭 차단이 기본이라는 문구!
모든 퍼블릭 액세스 차단으로 설정하고 CloudFront 설정으로 이동
CloudFront 변경점
과거 Cloudfront 에서 S3 부분 설정 옵션
현재(2023-02-20) Cloudfront 에서 S3 부분 설정 옵션, OAC가 새로 생겼다.
OAI(origin access identity)"원본 액세스 ID"
기존 AWS 리전과 2022년 12월 이전에 출시된 리전에서만 지원됩니다.
AWS Signature Version 4(SigV4), POST method를 사용하는 HTTP/HTTPS 요청, AWS KMS를 사용한 서버 측 암호화(SSE-KMS)를 적용을 지원하지 않는 등의 제한 사항이 있습니다.
OAI는 기존 AWS 리전과 2022년 12월 이전에 출시된 리전에서만 지원됩니다.
OAC(origin access control)
기존 리전과 향후 추가될 모든 리전을 포함한 모든 AWS 리전에서 S3에 접근하는 것을 지원합니다.
보안 – OAC는 단기 자격 증명, 빈번한 자격 증명 교체 및 리소스 기반 정책과 같은 향상된 보안 방식으로 구현됩니다.
포괄적인 HTTP 메서드 지원 – OAC는 GET, PUT, POST, PATCH, DELETE, OPTIONS 및 HEAD를 지원합니다.
SSE-KMS – OAC는 SSE-KMS로 암호화된 S3 객체 다운로드 및 업로드를 지원합니다.
모든 AWS 리전에서 S3 접근 – OAC는 기존 리전과 향후 추가될 모든 리전을 포함한 모든 AWS 리전에서 S3에 접근하는 것을 지원합니다.
OAC는 OAI의 확장 버전이고 이를 권장한다고 함. 보안을 강화하고, 여러가지 옵션을 제공하며, 향후 모든 AWS 리전에서 접근 가능하다고 함.
잘 되었다..
