1 S3 Object Lock
- Amazon S3 Object Lock은 데이터를 안전하게 보관하고 무단 삭제 또는 수정을 방지하기 위한 기능입니다.
- 객체에 대한 삭제 방지와 수정 불가능을 보장하며, Compliance 모드와 Governance 모드 중 선택할 수 있습니다.
2 Object Lock의 주요 기능
- 보존 모드와 법적 보류의 구분: Object Lock은 보존 모드와 법적 보류 두 가지 기능을 통해 데이터 보호를 제공합니다
- 보존 모드: 데이터의 무단 삭제와 수정을 일정 기간 동안 방지합니다. 이는 객체에 대해 Compliance 모드 또는 Governance 모드로 설정할 수 있습니다.
- 법적 보류: 특정 법적 요구사항이나 규제 준수를 위해 객체를 무기한 보호합니다. 이는 보존 모드와 관계없이 독립적으로 설정할 수 있습니다.
3 보존 모드
3.1 Compliance 모드
- 변경 불가능성: Compliance 모드에서는 모든 사용자, 심지어 AWS 계정의 루트 사용자도 객체를 삭제하거나 수정할 수 없습니다.
- 고정된 보존 기간: 설정된 보존 기간 동안 객체는 변경 불가능합니다. 이 기간이 끝날 때까지 객체는 삭제나 수정이 불가능합니다..
- 사용 사례: 금융 데이터나 의료 기록 등 법적 요구 사항에 따라 데이터의 무결성을 보장해야 하는 경우에 유용합니다.
3.2 Governance 모드
- 제한적 변경 허용: Governance 모드에서는 대부분의 사용자가 객체를 삭제하거나 수정할 수 없지만,
s3:BypassGovernanceRetention 권한을 가진 사용자는 이러한 제한을 우회할 수 있습니다.
- 유연한 접근 제어: 이 모드는 조직 내 특정 사용자에게만 데이터 변경 권한을 부여하여 내부 통제를 쉽게 관리할 수 있습니다.
- 사용 사례: 내부 정책에 따라 데이터 보호가 필요하지만, 특정 상황에서는 데이터 변경이 허용되어야 하는 경우에 적합합니다.
3.3 보존 기간
- 지정된 보호 기간: 보존 기간은 객체가 보호 상태로 유지되는 고정된 기간을 설정합니다. 이 기간 동안 객체는 삭제나 수정이 불가능합니다.
- 개별 객체 적용: 보존 기간은 각 객체에 대해 설정할 수 있으며, 버킷 수준에서 기본 보존 기간을 설정할 수도 있습니다.
- 연장 가능: 필요에 따라 보존 기간을 연장할 수 있으며, 보존 기간이 끝난 후에야 객체를 수정하거나 삭제할 수 있습니다.
4 법적 보류
- 무기한 보호: 법적 보류는 객체에 대한 보호를 설정하며, 만료일 없이 지속됩니다. 이는 보존 모드와 관계없이 설정할 수 있습니다.
- 개별 객체 적용 가능: 법적 보류는 특정 객체 버전에 적용할 수 있으며, 보존 기간과는 독립적으로 작동합니다.
- 권한 관리: 법적 보류를 설정하거나 제거하려면
s3:PutObjectLegalHold 권한이 필요합니다. 이 권한을 가진 사용자만이 법적 보류를 설정하거나 제거할 수 있습니다.
- 법적 보류 제외: 특정 사용자가 객체를 삭제해야 하는 경우, 해당 사용자에게
s3:PutObjectLegalHold 권한을 부여하여 법적 보류를 설정하거나 제거할 수 있도록 해야 합니다.
- 사용 사례: 법적 소송이나 조사에 대비해 데이터 보호가 필요할 때 사용됩니다.