SSE - S3/KMS
Amazon S3 Server-Side Encryption (SSE)는 Amazon S3에 저장된 객체 데이터를 암호화하는 방식이다. 전체적인 암호화 과정은 AWS가 주관하기 때문에 추가적인 Client-Side Encryption 및 키 관리 없이도 스토리지의 안전을 보장한다.
| 특징 | SSE-S3 | SSE-KMS |
| 키 관리 | 전적으로 Amazon S3에 의해 관리된다. | AWS KMS에 의해 관리된다. |
| 암호화 키 | 각 객체 별로 고유한 데이터 키를 사용하고, 이를 주기적으로 순환한다. |
AWS KMS에 의해 관리되는 독립된 CMKs 사용 |
| 키 교환 | AWS S3의 자동 교환 | 1년 주기로 자동 교환 |
| 접근 통제 | S3 버킷과 object 정책으로 관리하는 권한 | IAM 정책과 KSM 키 정책에 따른 미세한 접근 통제 |
| 감사 및 로깅 | S3 access log와 AWS CloudTrail의 제한적 사용 | 모든 키 사용량과 운용 관리를 위한 AWS CloudTrail 내의 로깅 |
| 추가 비용 | S3 스토리지 비용을 넘는 추가 비용 X | AWS KMS 사용량에 따른 추가적 비용 발생 |
| 성능 | (외부 서비스가 포함되지 않아서) 미약하게 빠름 | KMS call로 인한 추가적인 지연 발생 가능함 |
| 암호화 알고리즘 | AES-256 암호화 | AES-256 암호화, AWS KMS와 통합된 |
| 호환성 | 대부분의 S3 기능과 호환 가능 | S3 기능과 전부 호환됨. (<~ 하지만 KMS 권한 설정이 필요함) |
| 사용 사례 | 엄격한 접근 통제와 자세한 감사 및 호환성 요구 |
CORS
Cross Origin Resource Sharing의 약자로, 서로 다른 origin (e.g. domain, schema, port) 간에 허용된 resource에 대해서만 허용된 방식으로 접근/수정/삭제할 수 있도록 강제하는 웹 브라우저 보안 방식이다.
MFA delete
S3 객체 삭제 시 MFA 인증을 요구하는 옵션
S3 Access Logs
S3에 대한 접근 로그를 활성화하는 옵션
Multi-Region Access Points, VPC Endpoints
두 기능 모두 S3 버킷에 대한 접근 및 네트워크 연결을 관리하는 데 사용된다.
S3 Multi-Region Access Points
여러 리전에 걸쳐 있는 Amazon S3 버킷을 단일 글로벌 엔드포인트로 결합하여 데이터에 더 빠르고 탄력적으로 접근할 수 있도록 돕는 기능이다.
VPC Endpoints
Virtual Private Cloud (VPC) 내에서 Amazon S3 같은 AWS 서비스에 대한 private 연결을 제공한다. 이는 퍼블릭 인터넷을 통하지 않고도 안전하게 데이터에 접근할 수 있도록 돕는다.
| S3 Multi-Region Access Points | VPC Endpoints | |
| 목적 | 여러 리전에서 단일 글로벌 엔드포인트로 데이터 접근을 통합함 | VPC 내에서 S3에 private access |
| 데이터 접근 경로 | 최적의 리전으로 자동 라우팅 | 퍼블릭 인터넷을 거치지 않고 private 연결 사용 |
| 사용 사례 | 글로벌 사용자, 지연 시간 민감 애플리케이션 | 보안 강화, 데이터 전송 비용 절감 |
| 보안 | 정책 기반 제어 | private network 내 데이터 전송 |
| 비용 | 데이터 복제 비용 포함 | 트래픽 비용 절감 가능 |
정리하면, S3 Multi-Region Access Points는 전 세계적으로 분산된 사용자와 애플리케이션에 대해 S3 데이터 접근을 최적화하는 데 유용하며, VPC Endpoints는 VPC 내에서 안전하고 비용 효율적으로 S3에 접근할 수 잇는 방법을 제공한다.
'클라우드 > AWS' 카테고리의 다른 글
| [AWS] CloudFront (1) | 2024.07.30 |
|---|---|
| [AWS] Advanced Storage (1) | 2024.07.30 |
| [AWS] S3 (1) | 2024.07.22 |
| [AWS] Lambda (1) | 2024.07.14 |
| [AWS] CloudFormation (1) | 2024.07.10 |
SSE - S3/KMS
Amazon S3 Server-Side Encryption (SSE)는 Amazon S3에 저장된 객체 데이터를 암호화하는 방식이다. 전체적인 암호화 과정은 AWS가 주관하기 때문에 추가적인 Client-Side Encryption 및 키 관리 없이도 스토리지의 안전을 보장한다.
| 특징 | SSE-S3 | SSE-KMS |
| 키 관리 | 전적으로 Amazon S3에 의해 관리된다. | AWS KMS에 의해 관리된다. |
| 암호화 키 | 각 객체 별로 고유한 데이터 키를 사용하고, 이를 주기적으로 순환한다. |
AWS KMS에 의해 관리되는 독립된 CMKs 사용 |
| 키 교환 | AWS S3의 자동 교환 | 1년 주기로 자동 교환 |
| 접근 통제 | S3 버킷과 object 정책으로 관리하는 권한 | IAM 정책과 KSM 키 정책에 따른 미세한 접근 통제 |
| 감사 및 로깅 | S3 access log와 AWS CloudTrail의 제한적 사용 | 모든 키 사용량과 운용 관리를 위한 AWS CloudTrail 내의 로깅 |
| 추가 비용 | S3 스토리지 비용을 넘는 추가 비용 X | AWS KMS 사용량에 따른 추가적 비용 발생 |
| 성능 | (외부 서비스가 포함되지 않아서) 미약하게 빠름 | KMS call로 인한 추가적인 지연 발생 가능함 |
| 암호화 알고리즘 | AES-256 암호화 | AES-256 암호화, AWS KMS와 통합된 |
| 호환성 | 대부분의 S3 기능과 호환 가능 | S3 기능과 전부 호환됨. (<~ 하지만 KMS 권한 설정이 필요함) |
| 사용 사례 | 엄격한 접근 통제와 자세한 감사 및 호환성 요구 |
CORS
Cross Origin Resource Sharing의 약자로, 서로 다른 origin (e.g. domain, schema, port) 간에 허용된 resource에 대해서만 허용된 방식으로 접근/수정/삭제할 수 있도록 강제하는 웹 브라우저 보안 방식이다.
MFA delete
S3 객체 삭제 시 MFA 인증을 요구하는 옵션
S3 Access Logs
S3에 대한 접근 로그를 활성화하는 옵션
Multi-Region Access Points, VPC Endpoints
두 기능 모두 S3 버킷에 대한 접근 및 네트워크 연결을 관리하는 데 사용된다.
S3 Multi-Region Access Points
여러 리전에 걸쳐 있는 Amazon S3 버킷을 단일 글로벌 엔드포인트로 결합하여 데이터에 더 빠르고 탄력적으로 접근할 수 있도록 돕는 기능이다.
VPC Endpoints
Virtual Private Cloud (VPC) 내에서 Amazon S3 같은 AWS 서비스에 대한 private 연결을 제공한다. 이는 퍼블릭 인터넷을 통하지 않고도 안전하게 데이터에 접근할 수 있도록 돕는다.
| S3 Multi-Region Access Points | VPC Endpoints | |
| 목적 | 여러 리전에서 단일 글로벌 엔드포인트로 데이터 접근을 통합함 | VPC 내에서 S3에 private access |
| 데이터 접근 경로 | 최적의 리전으로 자동 라우팅 | 퍼블릭 인터넷을 거치지 않고 private 연결 사용 |
| 사용 사례 | 글로벌 사용자, 지연 시간 민감 애플리케이션 | 보안 강화, 데이터 전송 비용 절감 |
| 보안 | 정책 기반 제어 | private network 내 데이터 전송 |
| 비용 | 데이터 복제 비용 포함 | 트래픽 비용 절감 가능 |
정리하면, S3 Multi-Region Access Points는 전 세계적으로 분산된 사용자와 애플리케이션에 대해 S3 데이터 접근을 최적화하는 데 유용하며, VPC Endpoints는 VPC 내에서 안전하고 비용 효율적으로 S3에 접근할 수 잇는 방법을 제공한다.
'클라우드 > AWS' 카테고리의 다른 글
| [AWS] CloudFront (1) | 2024.07.30 |
|---|---|
| [AWS] Advanced Storage (1) | 2024.07.30 |
| [AWS] S3 (1) | 2024.07.22 |
| [AWS] Lambda (1) | 2024.07.14 |
| [AWS] CloudFormation (1) | 2024.07.10 |
