Amazon S3 객체 잠금

객체 수준의 불변성을 통해 랜섬웨어 이벤트로부터 데이터를 보호하여 우발적이거나 악의적인 삭제 및 덮어쓰기를 방지합니다.

Amazon S3는 전 세계 수백만 명의 고객이 신뢰하는 기본 스토리지입니다. 99.999999999%(11 9s)의 데이터 내구성을 통해 고객은 클라우드 네이티브 애플리케이션, 데이터 레이크 분석 출력 및 미디어 파일을 포함하여 거의 모든 사용 사례에 대해 비즈니스 크리티컬 데이터를 저장하고 보호할 수 있습니다. 다른 데이터와 마찬가지로 백업하고 악의적이거나 실수로 인한 삭제를 방지하는 보호 장치를 마련하는 것이 가장 좋습니다.

S3 객체 잠금은 고객이 정의한 보존 기간 동안 영구적인 객체 삭제를 차단하므로, 규제 준수 또는 데이터 보호를 위한 추가 계층으로 보존 정책을 적용할 수 있습니다. S3 객체 잠금을 사용하면 S3 버전 관리가 자동으로 활성화되고 함께 작동하여 잠긴 객체 버전이 영구적으로 삭제(실수 또는 의도적)되거나 WORM(Write Once Read Many) 모델을 사용하여 덮어쓰여지는 것을 방지합니다. S3 객체 잠금은 랜섬웨어 보호를 위한 객체 스토리지 불변성에 대한 업계 표준이며 Veeam, Veritas, Rubrik, Cohesity, Commvault 및 Clumio와 같은 AWS 스토리지 파트너의 클라우드 스토리지, 백업 및 데이터 보호 솔루션에 사용됩니다.

Amazon S3 객체 잠금을 사용하는 방법(12:54)

장점

랜섬웨어 이벤트 및 우발적 변경으로부터 데이터 보호

데이터 불변성은 데이터 보호 계획의 핵심 요소입니다. 사용자가 의도치 않게 변경하거나 삭제하는 것을 방지합니다. 이렇게 하면 랜섬웨어 이벤트로 인해 데이터가 삭제되거나 변경되지 않도록 방지할 수 있습니다. S3 객체 잠금은 의도하지 않았거나 악의적인 활동으로 인해 사람이나 프로세스에 의해 데이터가 변경되거나 삭제되는 것을 방지합니다.

규정 준수 및 규제 요구 사항 충족

S3 객체 잠금은 WORM 스토리지를 요구하는 규제 요건을 충족하거나, 객체 변경 및 삭제에 대한 보호 계층을 하나 더 추가하는 데 사용할 수 있습니다. Cohasset Associates는 SEC 17a-4, CFTC 및 FINRA 규정이 적용되는 환경에 대해 S3 객체 잠금을 평가했습니다. 재정의할 수 없는 준수 모드를 사용하여 데이터가 규정 준수 모니터링을 충족하도록 도울 수 있습니다. 객체 잠금이 이러한 규정과 어떻게 관련되어 있는지에 대한 자세한 내용은Cohasset Associates 규정 준수 평가를 참조하십시오.

객체 버전 복원

S3 버전 관리 기능을 사용하여 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있습니다. 버전 관리를 사용하면 의도하지 않은 사용자 작업과 애플리케이션 오류 모두에서 보다 쉽게 복구할 수 있습니다. S3 객체 잠금으로 자동 활성화되는 S3 버전 관리는 이전 버전으로 폴백할 수 있는 기능과 함께 데이터 복원력을 제공합니다. 여기에서 자세히 알아보기.

S3 객체 잠금은 어떻게 작동하나요?

S3 객체 잠금 작동 방식 다이어그램

버킷 또는 객체 수준에서 S3 객체 잠금을 사용할 수 있으며, 새 버킷을 만들 때 또는 기존 버킷에서 활성화할 수 있습니다. 버킷(또는 버킷 내의 객체)과 함께 S3 객체 잠금을 사용하려면 먼저 버킷에 S3 버전 관리를 사용하도록 설정해야 합니다. 보존 기간 및 법적 보존은 개별 객체 버전에 적용됩니다. 객체 버전을 잠그면 Amazon S3는 해당 객체 버전의 메타데이터에 잠금 정보를 저장합니다. 객체에 보존 기간 또는 법적 보류를 적용하면 요청에 지정된 버전만 보호됩니다. 새 버전의 객체가 생성되는 것을 막거나 잠긴 객체 버전에 삭제 마커가 배치되는 것을 막지는 못합니다. 

S3 객체 잠금 보호는 객체가 어떤 스토리지 클래스에 있든 상관없이 스토리지 클래스 간의 S3 수명 주기 전환 전반에 걸쳐 유지됩니다. 객체의 덮어쓰기를 방지하는 S3 버전 관리 기능과 함께 사용하면 S3 객체 잠금 보호가 적용되는 동안에는 객체를 변경 불가능한 상태로 유지할 수 있습니다. 기존 WORM 스토리지 시스템에서 Amazon S3로 워크로드를 마이그레이션하고 객체 및 버킷 수준에서 S3 객체 잠금을 구성하여 사전 정의된 날짜 또는 법적 보존 날짜 이전에 객체 버전 삭제를 방지할 수 있습니다. 

또한 S3 객체 잠금이 활성화된 버킷에서 S3 복제를 활성화하여 보존 설정과 함께 객체를 복제할 수 있습니다. 객체를 복제하는 동안 소스 버킷에 S3 객체 잠금이 활성화된 경우 대상 버킷에도 S3 객체 잠금이 활성화되어 있어야 합니다.

S3 객체 잠금을 통한 객체 보존 관리

S3 객체 잠금은 객체 보존을 관리하는 2가지 방법인 보존 기간법적 보존을 제공합니다. 버킷에 S3 객체 잠금을 사용하는 경우 객체 버전에 보존 기간과 법적 보존 모두를 사용하거나 하나만 사용하거나 사용하지 않을 수 있습니다.

  • 보존 기간 - 객체가 잠긴 상태로 유지되는 고정 기간을 지정합니다. 이 기간 동안 객체는 WORM으로 보호되며 덮어쓰거나 삭제할 수 없습니다. 객체 버전에 보존 기간을 설정하면 Amazon S3는 객체 버전의 메타데이터에 타임스탬프를 저장하여 보존 기간이 만료되는 시점을 표시합니다. 보존 기간이 만료된 후에는 객체 버전에 법적 보류를 적용하지 않는 한 객체 버전을 덮어쓰거나 삭제할 수 있습니다. 버킷 정책을 사용하면 버킷의 최소 및 최대 허용 보존 기간을 설정하여 허용 보존 기간의 범위를 설정할 수 있습니다. 자세한 내용은 보존 기간을 참조하세요.
  • 법적 보존 - 보존 기간과 동일한 보호를 제공하지만 만료 날짜는 없습니다. 대신 법적 보류는 명시적으로 삭제할 때까지 그대로 유지됩니다. 법적 보류는 보존 기간과 무관합니다. 자세한 내용은 법적 보존을 참조하세요.

보존 기간과 보존 모드는 독립적으로 구성되는 법적 보존과 달리 항상 함께 구성됩니다. S3 객체 잠금은 객체에 서로 다른 수준의 보호를 적용하는 2가지 보존 모드를 제공합니다. 객체 잠금으로 보호되는 모든 객체 버전에 두 가지 보존 모드를 적용할 수 있습니다.

  • 거버넌스 모드 — 거버넌스 모드에서는 특별한 권한이 없는 한 사용자가 객체 버전을 덮어쓰거나 삭제하거나 해당 잠금 설정을 변경할 수 없습니다. 거버넌스 모드를 사용하면 대부분의 사용자가 객체를 삭제하지 못하도록 보호할 수 있지만 일부 사용자에게 보존 설정을 변경하거나 필요한 경우 객체를 삭제할 수 있는 권한을 부여할 수 있습니다. 또한 규정 준수 모드 보존 기간을 만들기 전에 거버넌스 모드를 사용하여 보존 기간 설정을 테스트할 수 있습니다.
  • 규정 준수 모드 — 규정 준수 모드에서는 AWS 계정의 루트 사용자를 비롯한 어떤 사용자도 보호된 객체 버전을 덮어쓰거나 삭제할 수 없습니다. 객체가 규정 준수 모드에서 잠긴 경우 보존 모드를 변경할 수 없으며 보존 기간을 단축할 수 없습니다. 규정 준수 모드를 사용하면 보존 기간 동안 객체 버전을 덮어쓰거나 삭제할 수 없습니다.  Cohasset Associates에서는 SEC 규칙 17a-4(f), FINRA 규칙 4511 및 CFTC 규정 1.31에 대해 S3 객체 잠금을 평가했습니다. 

S3 배치 작업으로 대규모 S3 객체 잠금 사용

기본 S3 객체 잠금 설정을 사용하여 모든 새 객체의 버킷에 S3 객체 잠금을 활성화할 수 있습니다. 기존 객체의 경우 S3 배치 작업을 사용하여 전체 버킷, 접두사, 접미사, 생성 날짜 또는 스토리지 클래스를 지정하는 방법으로 수십억 개의 객체에 S3 객체 잠금 설정을 한 번에 적용할 수 있습니다. 또는 매니페스트에서 대상 객체 목록을 지정하고 완료를 위해 S3 배치 작업에 제출해도 됩니다.

다른 모든 S3 객체 잠금 설정과 마찬가지로 보존 기간은 개별 객체 버전에 적용됩니다. 단일 객체의 버전마다 보존 모드 및 기간이 다를 수 있습니다.

예를 들어 30일의 보존 기간이 15일인 객체가 있고 동일한 이름과 60일의 보존 기간을 가진 새 객체를 Amazon S3에 업로드한다고 가정해 보겠습니다. 이 경우 업로드가 성공하고 Amazon S3는 보존 기간이 60일인 새 버전의 객체를 생성합니다. 이전 버전은 원래 보존 기간을 유지하며 15일 후에 삭제할 수 있습니다.

객체 버전에 보존 기간을 적용한 후 보존 기간을 연장할 수 있습니다. 이렇게 하려면 보존 기한 날짜가 현재 구성된 날짜 이후인 객체 버전에 S3 배치 작업을 사용하여 새 S3 객체 잠금 요청을 제출해야 합니다. Amazon S3는 기존 보존 기간을 더 긴 새 기간으로 대체합니다. 자세히 알아보세요.

파트너

데이터 보호를 위한 S3 시작하기

Amazon S3에 저장된 데이터의 경우 모범 사례는 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있는 Amazon S3 버전 관리에서 시작합니다. 그런 다음 Amazon S3 객체 잠금을 추가하여 고정된 시간 동안 또는 무기한으로 데이터를 삭제하거나 덮어쓰는 것을 방지할 수 있습니다. 다중 리전 보호를 위해 다른 AWS 리전에서 데이터의 추가 복사본을 생성하려면 S3 객체 잠금이 설정된 상태에서 Amazon S3 복제를 버킷으로 활성화할 수 있습니다. 그런 다음 S3 버전 관리 및 S3 객체 잠금과 함께 S3 복제를 사용하여 AWS 리전과 별도의 AWS 계정 간에 자동으로 객체를 복사할 수 있습니다. 기존 객체에 S3 객체 잠금을 사용하거나 잠금 만료가 임박한 기존 객체의 잠금 기간을 연장하려면 S3 배치 작업 및 S3 인벤토리 보고서를 사용할 수 있습니다. 마지막으로 Amazon S3 스토리지 렌즈를 사용하여 현재 데이터 보호 수준과 이러한 기능의 사용에 대한 가시성을 단일 대시보드로 가져올 수 있습니다.

Amazon S3에서 데이터를 보호하는 방법에 대해 자세히 알아보려면 S3 데이터 보호에 대한 시작하기 자습서를 참조하십시오.

Amazon S3 FAQ
S3 객체 잠금 사용 설명서 읽기

사용 설명서에서 S3 객체 잠금에 대해 자세히 알아보십시오.

자세히 알아보기 
AWS 계정에 가입
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입 
Amazon S3로 구축 시작
콘솔에서 구축 시작

AWS Management Console에서 Amazon S3를 사용하여 구축을 시작하십시오.

로그인