S3 버전관리, Object Lock, MFA delete (AWS-SAA_C03_V18.35_Q44, Q53)

S3 버전관리

• 동일 버킷 내에 여러개의 객체 변형을 보유하는 수단
• 버킷 소융자를 포함해 승인받은 모든 사용자는 버전 관리 사용 가능
• 버킷 내 모든 버전의 객체를 보존, 검색 및 복원 가능
• 객체 복원 원리
  • 객체 삭제 시 S3에서 영구 제거하는 것이 아닌 해당 객체에 삭제 마커를 삽입하기에 복원 가능
  • 객체를 덮어쓴 경우 버킷에 새 객체 버전이 생기는 것이기에 복원 가능

https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/versioning-workflows.html

• 기본적으로 S3 버전관리는 미사용 상태
  • 버킷 버전관리 상태: 미사용(default), 사용, 일시 중지
  • "사용 → 미사용" 불가
  • "사용 → 일시중지" 가능
• 버전관리 기능은 버킷 전체에 적용됨(일부 객체에만 적용 불가)이
• 버전 사용 설정 후부턴 모든 객체에게 고유한 버전ID 부여
  → 수정될 때마다 고유한 버전 ID 부여됨
• 수명 주기 관리와 연동 가능 → 일정 주기로 특정 버전만 옮기기 가능
• 비용은 모든 버전에 대해 발생함
  • 1TB 객체 버전 3개 있다면, 총 3TB에 대해 비용 발생

---

MFA Delete

• MFA란 Multi-Factor Authentication
• S3 버전관리 사용 시 설정 가능
• 버킷 소유자만 사용 설정 가능
• MFA Delete 활성화 → 버킷 소융자가 버전 삭제 또는 버전관리 상태를 변경하는 경우 추가 인증 필수
  • 보안 자격 증명
  • 승인된 인증 디바이스에 표시된 유효한 일련번호, 공백, 6자리 코드 연결

---

S3 Object Lock

• S3 버전관리 사용 시 설정 가능
• write-once-read-many(WORM) 모델을 사용하여 객체 저장 가능
  → 특정 기한 또는 무기한 객체 삭제 또는 덮어쓰기 방지 가능
• 객체 보관 방법 2종류: 보관 기간(Retention Mode), 법적 보존(Legal Hold)
  • 보관 기간(Retention Mode) : 일정 기간 WORM으로 보호받음
    • 규정 준수 모드: 루트 유저 포함 누구도 잠금 설정 및 삭제 불가
    • 거버넌스 모드: 권한있는 자만 삭제 혹은 잠금 설정 가능(이외 불가)
  • 법적 보존 (Legal Hold) : 만료날짜가 없고 명시적으로 제거할 때까지 유지됨
    • Hold라는 딱지가 붙어있으면 기한 없이 삭제/수정 불가

---

 

AWS-SAA_C03_V18.35_Q44

Mission

• 중요 데이터가 포함된 S3 버킷
• 데이터의 우발적 삭제 보호 조치 필요

Action

• S3 버킷의 버전 관리 활성화
• S3 버킷의 MFA 삭제 활성화

---

AWS-SAA_C03_V18.35_Q53

Mission

• 회사는 S3에 회계 기록을 저장해야 함
  • 기록은 1년 동안 즉시 액세스 가능해야함
  • 그 후 추가로 9년 동안 보관해야함
• 관리자를 포함해 어느 누구도 10년 동안 기록 삭제 불가
• 기록은 최대한의 복원력으로 저장해야함

Action

• S3 수명 주기 정책으로 1년은 S3 Standard에서, 이후 9년은 S3 Glacier Deep Archive로 전환
• 10년 동안 S3 Object Lock 사용

---

출처

S3 버킷에서 버전 관리 사용 - Amazon Simple Storage Service

S3 버전 관리 작동 방식 - Amazon Simple Storage Service

S3 객체 잠금 사용 - Amazon Simple Storage Service

MFA Delete 구성 - Amazon Simple Storage Service