Amazon S3 객체 잠금

버킷 또는 객체 수준에서 S3 객체 잠금을 사용할 수 있으며, 새 버킷을 만들 때 또는 기존 버킷에서 활성화할 수 있습니다. 버킷(또는 버킷 내의 객체)과 함께 S3 객체 잠금을 사용하려면 먼저 버킷에 S3 버전 관리를 사용하도록 설정해야 합니다. 보존 기간 및 법적 보존은 개별 객체 버전에 적용됩니다. 객체 버전을 잠그면 Amazon S3는 해당 객체 버전의 메타데이터에 잠금 정보를 저장합니다. 객체에 보존 기간 또는 법적 보류를 적용하면 요청에 지정된 버전만 보호됩니다. 새 버전의 객체가 생성되는 것을 막거나 잠긴 객체 버전에 삭제 마커가 배치되는 것을 막지는 못합니다. 

S3 객체 잠금 보호는 객체가 어떤 스토리지 클래스에 있든 상관없이 스토리지 클래스 간의 S3 수명 주기 전환 전반에 걸쳐 유지됩니다. 객체의 덮어쓰기를 방지하는 S3 버전 관리 기능과 함께 사용하면 S3 객체 잠금 보호가 적용되는 동안에는 객체를 변경 불가능한 상태로 유지할 수 있습니다. 기존 WORM 스토리지 시스템에서 Amazon S3로 워크로드를 마이그레이션하고 객체 및 버킷 수준에서 S3 객체 잠금을 구성하여 사전 정의된 날짜 또는 법적 보존 날짜 이전에 객체 버전 삭제를 방지할 수 있습니다. 

또한 S3 객체 잠금이 활성화된 버킷에서 S3 복제를 활성화하여 보존 설정과 함께 객체를 복제할 수 있습니다. 객체를 복제하는 동안 소스 버킷에 S3 객체 잠금이 활성화된 경우 대상 버킷에도 S3 객체 잠금이 활성화되어 있어야 합니다.

S3 객체 잠금은 객체 보존을 관리하는 2가지 방법인 보존 기간 및 법적 보존을 제공합니다. 버킷에 S3 객체 잠금을 사용하는 경우 객체 버전에 보존 기간과 법적 보존 모두를 사용하거나 하나만 사용하거나 사용하지 않을 수 있습니다.

• 보존 기간 - 객체가 잠긴 상태로 유지되는 고정 기간을 지정합니다. 이 기간 동안 객체는 WORM으로 보호되며 덮어쓰거나 삭제할 수 없습니다. 객체 버전에 보존 기간을 설정하면 Amazon S3는 객체 버전의 메타데이터에 타임스탬프를 저장하여 보존 기간이 만료되는 시점을 표시합니다. 보존 기간이 만료된 후에는 객체 버전에 법적 보류를 적용하지 않는 한 객체 버전을 덮어쓰거나 삭제할 수 있습니다. 버킷 정책을 사용하면 버킷의 최소 및 최대 허용 보존 기간을 설정하여 허용 보존 기간의 범위를 설정할 수 있습니다. 자세한 내용은 보존 기간을 참조하세요.
• 법적 보존 - 보존 기간과 동일한 보호를 제공하지만 만료 날짜는 없습니다. 대신 법적 보류는 명시적으로 삭제할 때까지 그대로 유지됩니다. 법적 보류는 보존 기간과 무관합니다. 자세한 내용은 법적 보존을 참조하세요.

보존 기간과 보존 모드는 독립적으로 구성되는 법적 보존과 달리 항상 함께 구성됩니다. S3 객체 잠금은 객체에 서로 다른 수준의 보호를 적용하는 2가지 보존 모드를 제공합니다. 객체 잠금으로 보호되는 모든 객체 버전에 두 가지 보존 모드를 적용할 수 있습니다.

• 거버넌스 모드 — 거버넌스 모드에서는 특별한 권한이 없는 한 사용자가 객체 버전을 덮어쓰거나 삭제하거나 해당 잠금 설정을 변경할 수 없습니다. 거버넌스 모드를 사용하면 대부분의 사용자가 객체를 삭제하지 못하도록 보호할 수 있지만 일부 사용자에게 보존 설정을 변경하거나 필요한 경우 객체를 삭제할 수 있는 권한을 부여할 수 있습니다. 또한 규정 준수 모드 보존 기간을 만들기 전에 거버넌스 모드를 사용하여 보존 기간 설정을 테스트할 수 있습니다.
• 규정 준수 모드 — 규정 준수 모드에서는 AWS 계정의 루트 사용자를 비롯한 어떤 사용자도 보호된 객체 버전을 덮어쓰거나 삭제할 수 없습니다. 객체가 규정 준수 모드에서 잠긴 경우 보존 모드를 변경할 수 없으며 보존 기간을 단축할 수 없습니다. 규정 준수 모드를 사용하면 보존 기간 동안 객체 버전을 덮어쓰거나 삭제할 수 없습니다.  Cohasset Associates에서는 SEC 규칙 17a-4(f), FINRA 규칙 4511 및 CFTC 규정 1.31에 대해 S3 객체 잠금을 평가했습니다. 

기본 S3 객체 잠금 설정을 사용하여 모든 새 객체의 버킷에 S3 객체 잠금을 활성화할 수 있습니다. 기존 객체의 경우 S3 배치 작업을 사용하여 전체 버킷, 접두사, 접미사, 생성 날짜 또는 스토리지 클래스를 지정하는 방법으로 수십억 개의 객체에 S3 객체 잠금 설정을 한 번에 적용할 수 있습니다. 또는 매니페스트에서 대상 객체 목록을 지정하고 완료를 위해 S3 배치 작업에 제출해도 됩니다.

다른 모든 S3 객체 잠금 설정과 마찬가지로 보존 기간은 개별 객체 버전에 적용됩니다. 단일 객체의 버전마다 보존 모드 및 기간이 다를 수 있습니다.

예를 들어 30일의 보존 기간이 15일인 객체가 있고 동일한 이름과 60일의 보존 기간을 가진 새 객체를 Amazon S3에 업로드한다고 가정해 보겠습니다. 이 경우 업로드가 성공하고 Amazon S3는 보존 기간이 60일인 새 버전의 객체를 생성합니다. 이전 버전은 원래 보존 기간을 유지하며 15일 후에 삭제할 수 있습니다.

객체 버전에 보존 기간을 적용한 후 보존 기간을 연장할 수 있습니다. 이렇게 하려면 보존 기한 날짜가 현재 구성된 날짜 이후인 객체 버전에 S3 배치 작업을 사용하여 새 S3 객체 잠금 요청을 제출해야 합니다. Amazon S3는 기존 보존 기간을 더 긴 새 기간으로 대체합니다. 자세히 알아보세요.

Amazon S3에 저장된 데이터의 경우 모범 사례는 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있는 Amazon S3 버전 관리에서 시작합니다. 그런 다음 Amazon S3 객체 잠금을 추가하여 고정된 시간 동안 또는 무기한으로 데이터를 삭제하거나 덮어쓰는 것을 방지할 수 있습니다. 다중 리전 보호를 위해 다른 AWS 리전에서 데이터의 추가 복사본을 생성하려면 S3 객체 잠금이 설정된 상태에서 Amazon S3 복제를 버킷으로 활성화할 수 있습니다. 그런 다음 S3 버전 관리 및 S3 객체 잠금과 함께 S3 복제를 사용하여 AWS 리전과 별도의 AWS 계정 간에 자동으로 객체를 복사할 수 있습니다. 기존 객체에 S3 객체 잠금을 사용하거나 잠금 만료가 임박한 기존 객체의 잠금 기간을 연장하려면 S3 배치 작업 및 S3 인벤토리 보고서를 사용할 수 있습니다. 마지막으로 Amazon S3 스토리지 렌즈를 사용하여 현재 데이터 보호 수준과 이러한 기능의 사용에 대한 가시성을 단일 대시보드로 가져올 수 있습니다.

Amazon S3에서 데이터를 보호하는 방법에 대해 자세히 알아보려면 S3 데이터 보호에 대한 시작하기 자습서를 참조하십시오.