◇ 공부 기록용으로 작성하였으니 틀린점, 피드백 주시면 감사하겠습니다 ◇
TL;DR
Object Lock(객체 잠금)은 S3 bucket에 저장한 Object에 대해서 업데이트(변경)와 삭제를 못하게 방지한다.
S3 객체 잠금
S3 Object Lock: 삭제 및 변경 방지
S3의 Object Lock은 Amazon S3에 저장된 객체의 삭제 및 변경/업데이트를 방지하는 기능이다.
S3 Object Lock 특징
- Object Lock는 bucket을 새로 작성 시에만 설정 할 수 있다.
- Object Lock을 유효화 시키면 자동으로 Versioning도 유효화 된다.
(Versioning이란→ https://jibinary.tistory.com/314)
- Legal Hold (리걸 홀드): 특정 객체를 무기한으로 잠글 수 있다
- Retention Periods (보존 기간): 특정 기간 동안 객체를 잠글 수 있다. 이 기간 동안은 객체는 삭제나 수정이 불가능하다. (예시: 100일 동안)
- S3 Object Lock의 2가지 종류: Retention Mode (둘 다 Retention Periods를 정해야한다)
- Governance 모드
- Compliance 모드
Legal Hold - 무기한 잠금
S3 Legal Hold는 Object Lock과 마찬가지로 S3의 객체 버전에서 객체(파일 또는 데이터)를 삭제/업데이트 못하게 보호하는 기능이다.
그러나 Legal Hold에는 고정된 기간이 없으므로 Legal Hold를 제거하기 전까지 유효하다.
권한(s3:PutObjectLegalHold)을 가진 사용자만 객체의 업데이트 및 삭제와 Legal Hold의 해제가 가능하다.
권한을 가지지 않은 사용자에 대해 Legal Hold가 해제될 때까지 객체를 읽기 전용으로 만든다.
Legal Hold은 Retention Periods와 독립적이다. 객체 버전에 Legal Hold을 설정해도 해당 객체 버전의 Retention Mode 또는 Retention Periods에는 영향을 주지 않는다. 즉, 둘다 설정가능하다.
Retention Mode (보존 모드)
S3 Object Lock은 객체에 대한 보호 수준이 다른 두 가지 Retention Mode를 제공한다. 둘 중 하나를 선택할 수 있다.
1. Governance (가버넌스) 모드: 권한 있으면 변경 가능
- 관리자 권한을 가지고 있는 사용자만 오브젝트를 업데이트 및 삭제할 수 있으며, 가버넌스 모드를 해제할 수 있다.
- 일반 유저는 객체를 업데이트 및 삭제할 수 없으며, 읽기만 가능하다 (읽기 전용으로 설정된다)
- 관리자 권한을 통해서만 잠금을 해제하고 삭제할 수 있다.
- 여기서 사용되는 권한: "s3:BypassGovernanceRetention"
2. Compliance (컴플라이언스) 모드: 아무도 해제 불가
- 루트 사용자를 포함한 모든 사용자가 오브젝트의 업데이트 및 삭제할 수 없으며, 읽기만 가능하다. (지정된 보존 기간 동안 오브젝트를 읽기 전용으로 설정된다)
- 루트 사용자조차도 컴플라이언스 모드를 해제할 수 없다.
- 이 모드는 규제 요건에 따라 데이터를 보호해야 할 때 유용하다.
사용 사례
- 데이터 무결성 보호: 중요한 데이터가 삭제되거나 덮어쓰여지지 않도록 보호할 때 사용한다.
- 기업의 규정 준수: 법적 요구 사항이나 규제 준수 목적으로 데이터를 특정 기간 동안 보관해야 할 때 유용하다.
- 백업 및 아카이빙: 데이터를 장기적으로 안전하게 보관하고, 랜섬웨어 공격 등의 위험으로부터 보호할 때 유용하다.
🤔 문제
Amazon S3의 객체 잠금 기능 중 "Governance 모드"에 대해 올바르게 설명하고 있는 것은 무엇인가?
- 루트 사용자만 대상 객체의 업데이트 및 삭제를 할 수 있다. 또한 Governance 모드를 해제할 수 있다.
- 특정 권한을 가진 사용자는 대상 객체의 업데이트 및 삭제를 할 수 있다. 또한 Governance 모드를 해제할 수 있다.
- 특정 권한을 가진 사용자는 대상 객체의 업데이트 및 삭제는 할 수 있지만, Governance 모드의 해제는 루트 사용자만 할 수 있다.
- 특정 권한을 가진 사용자는 대상 객체의 업데이트 및 삭제는 할 수 있지만, Governance 모드의 해제는 루트 사용자를 포함해 누구도 할 수 없다.
정답
정답. 2번
특정 권한을 가진 사용자는 대상 객체의 업데이트 및 삭제를 할 수 있다. 또한 Governance 모드를 해제할 수 있다.
참고자료)
https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/object-lock.html
S3 객체 잠금 사용 - Amazon Simple Storage Service
기본적으로 Amazon S3 콘솔에는 x-amz-bypass-governance-retention:true 헤더가 포함됩니다. 거버넌스 모드로 보호되는 객체를 삭제하려는 경우 s3:BypassGovernanceRetention 권한이 있으면 작업이 성공합니다.
docs.aws.amazon.com
'클라우드(AWS) > S3' 카테고리의 다른 글
| [AWS] S3의 IAM User Policy, Bucket Policy, ACL를 아주 쉽게 정리 (Access Control List) (0) | 2024.07.04 |
|---|---|
| [AWS] S3 LifeCycle (수명 주기)란? 쉽게 특징 정리 (0) | 2024.07.04 |
| [AWS] S3 Transfer Acceleration란? 쉽게 개념 정리 (0) | 2024.05.22 |
| [AWS] S3 Versioning (버저닝) 란? 쉽게 개념 정리 (0) | 2024.05.21 |
| [AWS] Amazon S3와 스토리지 클래스에 대해서 쉽게 정리 (Standard, Glacier ,Infrequent Access, Intelligent-Tiering) (2) | 2024.03.06 |
