728x90
반응형
Amazon S3에서 SSE-KMS 암호화를 위한 S3 버킷 키 사용하기
AWS에서 SSE-KMS 암호화를 사용할 때 비용과 성능을 최적화할 수 있는 새로운 설정인 S3 버킷 키에 대해 알아보겠습니다. 이 설정은 특히 대규모 데이터 환경에서 KMS API 호출 수를 줄이고 비용을 절감하는 데 유용합니다.
S3 버킷 키란 무엇인가요?
S3 버킷 키는 KMS와의 상호작용을 최소화하면서도 안전한 암호화를 유지하도록 설계된 기능입니다.
기존 방식에서는 S3에 저장되는 각 객체마다 KMS가 데이터 키를 생성해야 했습니다.
그러나 S3 버킷 키를 사용하면 버킷에 대해 하나의 데이터 키를 생성하고 이를 반복적으로 사용하여 KMS와의 API 호출을 줄일 수 있습니다.
주요 이점
- KMS API 호출 수 99% 감소
- SSE-KMS 암호화로 데이터를 업로드할 때 KMS 호출 수를 대폭 줄입니다.
- 이를 통해 API 호출 한도를 초과하지 않고 비용도 크게 절감할 수 있습니다.
- 비용 절감
- KMS API 호출이 감소함에 따라 암호화 비용도 최대 99%까지 줄일 수 있습니다.
- 보안 유지
- KMS 키를 기반으로 생성된 데이터 키와 S3 버킷 키는 AWS에서 관리되므로 보안 수준은 그대로 유지됩니다.
S3 버킷 키 작동 방식
- KMS에서 **고객 마스터 키(CMK)**를 사용하여 데이터 키를 생성합니다.
- 이 데이터 키는 Amazon S3 버킷 키로 주기적으로 갱신되며, 이후 버킷 내 객체를 암호화하는 데 사용됩니다.
- S3 버킷 키는 객체 암호화 시 Envelope Encryption 방식을 사용합니다.
- KMS에 대한 API 호출이 줄어들면서 성능 최적화와 비용 절감 효과를 얻습니다.
S3 콘솔에서 S3 버킷 키 활성화하기
- S3 콘솔에 접속하여 새 버킷을 생성합니다.
- 버킷 이름을 입력합니다. (예: Demo S3 Bucket Key)
- 공개 차단 설정을 활성화하고, 버전 관리는 비활성화합니다.
- 암호화 설정을 SSE-KMS로 선택하고 관리형 키를 설정합니다.
- S3 버킷 키를 활성화합니다.
- 기본적으로 활성화되어 있지만 비활성화할 수도 있습니다.
- 버킷을 생성합니다.
주의사항
- CloudTrail 이벤트 감소
S3 버킷 키를 활성화하면 KMS 관련 API 호출이 줄어들기 때문에 CloudTrail에서 기록되는 이벤트 수도 감소합니다. - 사용 시나리오
대규모 데이터를 처리하거나 비용 최적화가 중요한 경우 특히 유용합니다.
S3 버킷 키를 활용하면 KMS 암호화 비용을 줄이면서도 높은 보안을 유지할 수 있습니다.
728x90
반응형
'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글
| [AWS SCS] S3 Batch Encryption (0) | 2024.12.23 |
|---|---|
| [AWS SCS] S3 대용량 파일 업로드 with KMS Key (0) | 2024.12.23 |
| [AWS SCS] S3 Default Encryption (0) | 2024.12.23 |
| [AWS SCS] S3 암호화 (0) | 2024.12.23 |
| [AWS SCS] Secrets Manager 보안 (1) | 2024.12.23 |