개요
Amazon S3는 전 세계 수백만 명의 고객이 신뢰하는 기본 스토리지입니다. 99.999999999%(11 9s)의 데이터 내구성을 통해 고객은 클라우드 네이티브 애플리케이션, 데이터 레이크 분석 출력 및 미디어 파일을 포함하여 거의 모든 사용 사례에 대해 비즈니스 크리티컬 데이터를 저장하고 보호할 수 있습니다. 다른 데이터와 마찬가지로 백업하고 악의적이거나 실수로 인한 삭제를 방지하는 보호 장치를 마련하는 것이 가장 좋습니다.
S3 객체 잠금은 고객이 정의한 보존 기간 동안 영구적인 객체 삭제를 차단하므로, 규제 준수 또는 데이터 보호를 위한 추가 계층으로 보존 정책을 적용할 수 있습니다. S3 객체 잠금을 사용하면 S3 버전 관리가 자동으로 활성화되고 함께 작동하여 잠긴 객체 버전이 영구적으로 삭제(실수 또는 의도적)되거나 WORM(Write Once Read Many) 모델을 사용하여 덮어쓰여지는 것을 방지합니다. S3 Object Lock은 랜섬웨어 보호를 위한 객체 스토리지 불변성에 대한 업계 표준이며 Veeam, Veritas, Rubrik, Cohesity, Commvault 및 Clumio와 같은 AWS 스토리지 파트너의 클라우드 스토리지, 백업 및 데이터 보호 솔루션에 사용됩니다.
이점
S3 Object Lock은 어떻게 작동하나요?
버킷 또는 객체 수준에서 S3 객체 잠금을 사용할 수 있으며, 새 버킷을 만들 때 또는 기존 버킷에서 활성화할 수 있습니다. 버킷(또는 버킷 내의 객체)과 함께 S3 객체 잠금을 사용하려면 나중에 버전 관리를 활성화할 수 없으므로 먼저 버킷에 대한 버전 관리를 사용하도록 설정해야 합니다. 보존 기간 및 법적 보존은 개별 객체 버전에 적용됩니다. 객체 버전을 잠그면 Amazon S3는 해당 객체 버전의 메타데이터에 잠금 정보를 저장합니다. 객체에 보존 기간 또는 법적 보류를 적용하면 요청에 지정된 버전만 보호됩니다. 새 버전의 객체가 생성되는 것을 막지는 않습니다.
S3 객체 잠금 보호는 객체가 어떤 스토리지 클래스에 있든 상관없이 스토리지 클래스 간의 S3 수명 주기 전환 전반에 걸쳐 유지됩니다. 객체의 덮어쓰기를 방지하는 S3 버전 관리 기능과 함께 사용하면 S3 객체 잠금 보호가 적용되는 동안에는 객체를 변경 불가능한 상태로 유지할 수 있습니다. 기존 WORM 스토리지 시스템에서 Amazon S3로 워크로드를 마이그레이션하고 객체 및 버킷 수준에서 S3 객체 잠금을 구성하여 사전 정의된 날짜 또는 법적 보존 날짜 이전에 객체 버전 삭제를 방지할 수 있습니다.
또한 S3 객체 잠금이 활성화된 버킷에서 S3 복제를 활성화하여 보존 설정과 함께 객체를 복제할 수 있습니다. 객체를 복제하는 동안 소스 버킷에 S3 Object Lock이 활성화된 경우 대상 버킷에도 S3 Object Lock이 활성화되어 있어야 합니다.
S3 객체 잠금을 통한 객체 보존 관리
S3 Object Lock은 객체 보존을 관리하는 2가지 방법인 보존 기간과 법적 보존을 제공합니다. 버킷에 S3 Object Lock을 사용하는 경우 객체 버전에 보존 기간과 법적 보존을 모두 사용하거나, 하나만 사용하거나, 사용하지 않을 수 있습니다.
- 보존 기간 - 객체가 잠긴 상태로 유지되는 고정 기간을 지정합니다. 이 기간 동안 객체는 WORM으로 보호되며 덮어쓰거나 삭제할 수 없습니다. 객체 버전에 보존 기간을 설정하면 Amazon S3는 객체 버전의 메타데이터에 타임스탬프를 저장하여 보존 기간이 만료되는 시점을 표시합니다. 보존 기간이 만료된 후에는 객체 버전에 법적 보류를 적용하지 않는 한 객체 버전을 덮어쓰거나 삭제할 수 있습니다. 버킷 정책을 사용하면 버킷의 최소 및 최대 허용 보존 기간을 설정하여 허용 보존 기간의 범위를 설정할 수 있습니다. 자세한 내용은 보존 기간을 참조하세요.
- 법적 보존 - 보존 기간과 동일한 보호를 제공하지만 만료 날짜는 없습니다. 대신 법적 보류는 명시적으로 삭제할 때까지 그대로 유지됩니다. 법적 보류는 보존 기간과 무관합니다. 자세한 내용은 법적 보존을 참조하세요.
보존 기간과 보존 모드는 독립적으로 구성되는 법적 보존과 달리 항상 함께 구성됩니다. S3 객체 잠금은 객체에 서로 다른 수준의 보호를 적용하는 2가지 보존 모드를 제공합니다. 객체 잠금으로 보호되는 모든 객체 버전에 두 가지 보존 모드를 적용할 수 있습니다.
- 거버넌스 모드 - 거버넌스 모드에서는 특별한 권한이 없는 한 사용자가 객체 버전을 덮어쓰거나 삭제하거나 해당 잠금 설정을 변경할 수 없습니다. 거버넌스 모드를 사용하면 대부분의 사용자가 객체를 삭제하지 못하도록 보호할 수 있지만 일부 사용자에게 보존 설정을 변경하거나 필요한 경우 객체를 삭제할 수 있는 권한을 부여할 수 있습니다. 또한 규정 준수 모드 보존 기간을 만들기 전에 거버넌스 모드를 사용하여 보존 기간 설정을 테스트할 수 있습니다.
- 규정 준수 모드 - 규정 준수 모드에서는 AWS 계정의 루트 사용자를 비롯한 어떤 사용자도 보호된 객체 버전을 덮어쓰거나 삭제할 수 없습니다. 객체가 규정 준수 모드에서 잠긴 경우 보존 모드를 변경할 수 없으며 보존 기간을 단축할 수 없습니다. 규정 준수 모드를 사용하면 보존 기간 동안 객체 버전을 덮어쓰거나 삭제할 수 없습니다. Cohasset Associates에서는 SEC 규칙 17a-4(f), FINRA 규칙 4511 및 CFTC 규정 1.31에 대해 S3 Object Lock을 평가했습니다.
S3 배치 작업으로 대규모 S3 객체 잠금 사용
기본 잠금이 설정된 모든 새 객체에 대해 버킷에서 S3 Object Lock을 쉽게 활성화할 수 있습니다. 기존 객체의 경우 S3 객체 잠금과 함께 S3 배치 작업을 사용하여 잠금을 설정하거나 기존 보존을 연장하거나 한 번에 최대 수십억 개의 객체에 대한 법적 보류를 활성화 또는 제거할 수 있습니다. 매니페스트에서 대상 객체 목록을 지정하고 완료를 위해 배치 작업에 제출합니다.
다른 모든 S3 객체 잠금 설정과 마찬가지로 보존 기간은 개별 객체 버전에 적용됩니다. 단일 객체의 버전마다 보존 모드 및 기간이 다를 수 있습니다.
예를 들어 30일의 보존 기간이 15일인 객체가 있고 동일한 이름과 60일의 보존 기간을 가진 새 객체를 Amazon S3에 업로드한다고 가정해 보겠습니다. 이 경우 업로드가 성공하고 Amazon S3는 보존 기간이 60일인 새 버전의 객체를 생성합니다. 이전 버전은 원래 보존 기간을 유지하며 15일 후에 삭제할 수 있습니다.
객체 버전에 보존 설정을 적용한 후 보존 기간을 연장할 수 있습니다. 이렇게 하려면 보존 기한 날짜가 현재 객체 버전에 구성된 날짜 이후인 객체 버전에 대해 S3 배치 작업을 사용하여 새 잠금 요청을 제출해야 합니다. Amazon S3는 기존 보존 기간을 더 긴 새 기간으로 대체합니다. 자세히 알아보세요.
파트너
데이터 보호를 위한 S3 시작하기
Amazon S3에 저장된 데이터의 경우 모범 사례는 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있는 Amazon S3 버전 관리에서 시작합니다. 그런 다음 Amazon S3 Object Lock을 추가하여 고정된 시간 동안 또는 무기한으로 데이터를 삭제하거나 덮어쓰는 것을 방지할 수 있습니다. 다중 리전 보호를 위해 다른 AWS 리전에서 데이터의 추가 복사본을 생성하려면 S3 Object Lock이 설정된 상태에서 Amazon S3 복제를 버킷으로 활성화할 수 있습니다. 그런 다음 S3 버전 관리 및 S3 객체 잠금과 함께 S3 복제를 사용하여 AWS 리전과 별도의 AWS 계정 간에 자동으로 객체를 복사할 수 있습니다. 기존 객체에 S3 객체 잠금을 사용하거나 잠금 만료가 임박한 기존 객체의 잠금 기간을 연장하려면 S3 배치 작업 및 S3 인벤토리 보고서를 사용할 수 있습니다. 마지막으로 Amazon S3 Storage Lens를 사용하여 현재 데이터 보호 수준과 이러한 기능의 사용에 대한 가시성을 단일 대시보드로 가져올 수 있습니다.
Amazon S3에서 데이터를 보호하는 방법에 대해 자세히 알아보려면 S3 데이터 보호에 대한 시작하기 자습서를 참조하세요.