- 객체에 대한 삭제/수정 방지를 설정할 수 있는 기능이다.
- 버킷 단위가 아닌 객체 단위로 설정 가능하다.
- 이미 업로드된 객체에 잠금을 설정하면, 정해진 기간 동안 삭제하거나 수정할 수 없다.
- S3 버전 관리(Versioning)를 반드시 활성화해야 사용 가능하다.
🔐 객체 잠금 모드
S3는 두 가지 잠금 모드를 제공한다:
1. 규정준수 모드
-
절대적인 보호를 보장한다.
-
설정한 보존 기간 동안 루트 계정 관리자도 삭제/변경 불가
-
금융, 의료, 공공기관 등 규제 요건에 대응할 수 있다.
2. 거버넌스 모드
-
관리자 권한을 가진 IAM 사용자는
BypassGovernanceRetention권한을 이용해 잠금 해제 가능 -
내부 감사, 정책 준수 용도
-
덜 엄격한 환경에 적합
⏱️ 보존 방식
1. Retention Period (보존 기간)
- 특정 날짜까지 객체를 잠가둘 수 있다.
- 기간이 지나면 자동으로 잠금 해제됨.
2. Legal Hold (법적 보류)
- 기간과 상관없이 해제 전까지는 영구적으로 삭제 불가
- 수동 해제가 필요함 (관리자만 해제 가능)
✅ 언제 사용해야 할까?
- 감사 로그, 보안 로그 등 삭제되면 안 되는 데이터를 보호하고 싶을 때
- 금융/공공기관의 법적 보존 요구사항을 충족해야 할 때
📌 시험 대비 포인트 (AWS SAA)
| 개념 | 설명 |
|---|---|
| S3 Object Lock | 객체의 삭제/수정 방지 |
| 전제조건 | 버전 관리 활성화 필요 |
| 거버넌스 모드 | 관리자 우회 가능 |
| 규정준수 모드 | 절대 불변, 강제 보존 |
| 사용 사례 | 규제 준수, 법적 감사, 로그 보호 등 |
시험 예시
Q. 보안 로그가 삭제되거나 변경되지 않도록 보장하려면 어떤 기능을 사용해야 하는가?
A. S3 Object Lock
Backend Developer / Cloud Engineer