[AWS SCS] S3 Default Encryption

Amazon S3 기본 암호화 및 버킷 정책

Amazon S3에서는 기본적으로 객체에 대해 자동 암호화가 적용됩니다. 이 강의에서는 기본 암호화와 버킷 정책을 통해 S3 객체 암호화를 관리하는 방법에 대해 다룹니다.

---

1. 기본 암호화 (Default Encryption)

Amazon S3는 기본 암호화를 제공하여, 새로 업로드되는 객체가 자동으로 암호화되도록 합니다. 기본적으로 SSE-S3 방식으로 암호화가 적용되며, 이는 AWS가 관리하는 키를 사용하여 객체를 암호화합니다. 그러나 사용자는 기본 암호화 방식을 SSE-KMS(AWS Key Management Service)로 변경할 수도 있습니다.

• SSE-S3: AWS가 관리하는 키를 사용하여 객체를 암호화.
• SSE-KMS: 사용자가 관리하는 키를 사용하여 객체를 암호화. CloudTrail을 통해 키 사용 로그도 추적 가능.

기본적으로 새로운 버킷과 객체에는 SSE-S3가 자동 적용되지만, 사용자는 이를 원하는 방식으로 변경할 수 있습니다.

---

2. 버킷 정책을 통한 암호화 강제 (Bucket Policy)

S3 객체에 대한 버킷 정책을 설정하여 특정 암호화 방식을 강제할 수 있습니다. 예를 들어, SSE-KMS나 SSE-C 암호화를 강제로 적용할 수 있습니다. 이는 암호화 헤더가 올바르게 설정되지 않은 객체 업로드 요청을 거부하도록 하는 방식입니다.

예시 버킷 정책:

• SSE-KMS 강제: PUT 객체 요청 시 AWS KMS 암호화 헤더가 없으면 요청을 거부
• SSE-C 강제: PUT 객체 요청 시 고객 제공 암호화 키(SSE-C)가 없으면 요청을 거부

버킷 정책은 기본 암호화 설정보다 우선적으로 평가되므로, 사용자는 이 정책을 통해 원하는 암호화 방식이 적용되도록 강제할 수 있습니다.

---

3. 기본 암호화와 버킷 정책의 관계

• 기본 암호화는 새로 업로드되는 객체에 자동으로 적용됩니다.
• 버킷 정책을 통해 암호화 헤더를 지정하고, 올바른 암호화 방식으로만 객체가 업로드되도록 강제할 수 있습니다.
• 버킷 정책은 기본 암호화 설정을 덮어쓰지 않고, 추가적으로 암호화 요구 사항을 지정할 수 있습니다.

---

결론

• S3는 기본적으로 SSE-S3로 암호화가 적용되며, 이를 SSE-KMS로 변경할 수 있습니다.
• 버킷 정책을 사용하여 객체가 올바르게 암호화되었는지 확인하고, 암호화 방식을 강제할 수 있습니다.
• 기본 암호화 설정은 새 객체에만 적용되며, 버킷 정책은 이를 보완하거나 강제하는 역할을 합니다.

S3 객체 암호화 및 버킷 정책을 적절하게 설정함으로써, 데이터 보안 및 관리 효율성을 높일 수 있습니다.