[AWS SCS] S3 Object Lock & Glacier Vault Lock

S3 Glacier Vault Lock과 S3 Object Lock: 데이터 보존과 컴플라이언스를 위한 솔루션

Amazon S3는 데이터 보존 및 컴플라이언스를 충족하기 위한 두 가지 강력한 도구인 S3 Glacier Vault Lock과 S3 Object Lock을 제공합니다. 이 글에서는 각 기능의 개념, 사용 사례, 그리고 적용 방법에 대해 정리해보겠습니다.

---

S3 Glacier Vault Lock

S3 Glacier Vault Lock은 S3 Glacier Vault에 WORM(Write Once Read Many) 모델을 적용하여 데이터를 한 번 작성하면 수정하거나 삭제할 수 없도록 만듭니다.

주요 특징

• Vault Lock Policy: Vault에 정책을 설정하고 잠금. 정책이 잠기면 누구도 변경하거나 삭제할 수 없음.
• 데이터 보호: Vault Lock Policy가 적용된 Vault에 저장된 객체는 AWS 관리자와 같은 루트 사용자도 삭제 불가능.
• 법적 준수 및 데이터 보존: 컴플라이언스 및 데이터 보존 요구 사항 충족.

사용 사례

• 법적 증거 데이터 보호
• 데이터 보존이 중요한 규제 준수 환경

---

S3 Object Lock

S3 Object Lock은 버킷 내 개별 객체 수준에서 WORM 모델을 적용합니다. 이를 통해 특정 객체 버전을 삭제하거나 수정하지 못하도록 보호합니다.

주요 특징

1. 버전 관리 필수: S3 Object Lock을 활성화하려면 **버전 관리(versioning)**가 활성화되어야 함.
2. 보존 모드:
   • 컴플라이언스 모드(Compliance Mode)
     객체 버전을 덮어쓰거나 삭제할 수 없음. 루트 사용자도 변경 불가.
     완벽한 규제 준수를 요구하는 경우 적합.
   • 거버넌스 모드(Governance Mode)
     대부분의 사용자는 객체를 변경할 수 없으나, 특정 권한을 가진 관리자는 보존 기간 변경 및 객체 삭제 가능.
     더 유연한 옵션을 제공.
3. 보존 기간: 보호 기간을 지정하여 객체를 일정 기간 동안 보호 가능. 필요 시 연장 가능.

Legal Hold

• 객체를 무기한 보호.
• 보존 기간과 독립적으로 작동하며, 특별히 중요한 데이터를 보호할 때 유용.
• S3:PutObjectLegalHold 권한을 가진 사용자가 활성화 및 해제 가능.

---

S3 Glacier Vault Lock vs S3 Object Lock

적용 대상	Vault 전체	버킷 내 개별 객체
WORM 모델	지원	지원
잠금 수준	Vault 정책	객체 버전
보존 모드	없음	컴플라이언스 모드, 거버넌스 모드
Legal Hold 지원	미지원	지원
사용 사례	데이터 보존, 법적 준수	개별 객체 보호, 유연한 관리

기능S3 Glacier Vault LockS3 Object Lock

---

적용 방법

S3 Glacier Vault Lock

1. Vault 생성
2. Vault Lock Policy 설정
3. 정책 잠금

S3 Object Lock

1. 버킷에서 버전 관리 활성화
2. S3 Object Lock 활성화
3. 보존 모드(컴플라이언스/거버넌스) 및 기간 설정
4. 필요 시 Legal Hold 적용

---

결론

S3 Glacier Vault Lock과 S3 Object Lock은 각기 다른 수준에서 데이터를 보호하고 컴플라이언스를 충족하는 데 효과적인 도구입니다.

• Vault Lock은 Vault 전체를 보호하는 데 적합하며,
• Object Lock은 개별 객체 수준에서 유연한 관리가 가능하도록 설계되었습니다.