728x90
반응형
Amazon S3 Glacier Vault 정책 및 Vault Lock 이해하기
Amazon S3 Glacier는 장기 데이터 보관에 적합한 서비스로, 데이터 보호 및 규제 준수를 위해 Vault 정책과 Vault Lock 기능을 제공합니다. 이 글에서는 Vault Access Policy와 Vault Lock Policy의 차이점, Vault Lock 프로세스, 그리고 주요 특징을 정리해보겠습니다.
Vault Access Policy와 Vault Lock Policy의 차이점
- Vault Access Policy
- 역할: 사용자 및 계정 권한 제한.
- 특징: S3 버킷 정책과 유사하며, 필요에 따라 변경 가능.
- 활용 예: 특정 사용자만 데이터 읽기/쓰기 허용.
- Vault Lock Policy
- 역할: 규제 준수 및 데이터 보호를 위한 고정 정책.
- 특징: 한 번 설정되면 변경 불가(Immutable).
- 활용 예: WORM(Write Once Read Many) 정책 구현, 1년 미만 데이터 삭제 금지.
Vault Access Policy는 시간이 지나면서 변경 가능하지만, Vault Lock Policy는 규제 준수를 보장하기 위해 한 번 설정되면 변경할 수 없습니다.
Vault Lock 프로세스
Vault Lock을 설정하려면 다음 단계를 따라야 합니다:
- Vault Lock Policy 첨부
Vault에 Vault Lock Policy를 첨부합니다.- 정책은 JSON 형식으로 작성됩니다.
- 예: 1년 동안 데이터 삭제 금지 정책.
- 잠금 프로세스 시작(In-Progress 상태)
- Vault Lock Policy가 적용되면 Vault는 In-Progress 상태가 됩니다.
- 이 단계에서 Lock ID가 생성되며, 24시간 동안 유효합니다.
- 테스트 및 검증
- 24시간 동안 Vault Lock Policy의 작동 여부를 테스트합니다.
- 정책이 적합하지 않으면 이 단계에서 수정 가능합니다.
- 잠금 프로세스 완료(Completed 상태)
- 정책이 적합하면 잠금 프로세스를 완료합니다.
- Vault Lock Policy는 Completed 상태로 전환되며, 이후 절대 변경할 수 없습니다.
Vault 정책 조합
Vault Lock Policy와 Vault Access Policy는 동시에 사용 가능합니다.
- Vault Lock Policy: 데이터를 보호하고 규제 요구사항을 충족.
- Vault Access Policy: 추가 사용자 권한 제한 또는 부여.
활용 예시
- 규제 준수
- 금융 데이터나 의료 기록 등 삭제가 금지된 데이터를 보호.
- WORM 정책을 통해 데이터 무결성 유지.
- 장기 데이터 보존
- 일정 기간 동안 데이터를 안전하게 보관.
- 컴플라이언스 강화
- 외부 감사나 규제 기관 요구에 대응 가능.
정리
- Vault Access Policy: 권한 관리와 유연한 변경이 가능.
- Vault Lock Policy: 규제 준수 및 데이터 보호를 위한 고정 정책.
- Vault Lock 프로세스는 정책을 테스트하고 고정할 수 있는 단계를 포함.
Amazon S3 Glacier의 Vault Lock 기능은 장기 데이터 보존과 규제 준수를 위한 필수 도구입니다.
728x90
반응형
'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글
| [AWS SCS] S3 Replication (0) | 2024.12.23 |
|---|---|
| [AWS SCS] S3 Lifecycle Rules (with S3 Analytics) (0) | 2024.12.23 |
| [AWS SCS] S3 Object Lock & Glacier Vault Lock (0) | 2024.12.23 |
| [AWS SCS] S3 Batch Encryption (0) | 2024.12.23 |
| [AWS SCS] S3 대용량 파일 업로드 with KMS Key (0) | 2024.12.23 |