서버 측 암호화를 사용하여 데이터 보호 - Amazon Simple Storage Service

서버 측 암호화를 사용하여 데이터 보호

중요

이제 Amazon S3가 Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)를 Amazon S3 내 모든 버킷 암호화의 기본 수준으로 적용합니다. 2023년 1월 5일부터 Amazon S3로의 모든 새 객체 업로드는 추가 비용 없이 성능에 영향을 미치지 않고 자동으로 암호화됩니다. S3 버킷 기본 암호화 구성에 및 신규 객체 업로드에 대한 자동 암호화 상태는 AWS CloudTrail 로그, S3 인벤토리, S3 스토리지 렌즈, Amazon S3 콘솔에서 사용할 수 있으며, AWS Command Line Interface 및 AWS SDK에서 추가 Amazon S3 API 응답 헤더로도 사용할 수 있습니다. 자세한 내용은 기본 암호화 관련 FAQ를 참조하십시오.

서버 측 암호화는 데이터를 받는 애플리케이션 또는 서비스에 의해 해당 대상에서 데이터를 암호화하는 것입니다. Amazon S3에서 AWS 데이터 센터의 디스크에 데이터를 쓰면서 객체 수준에서 데이터를 암호화하고 사용자가 해당 데이터에 액세스할 때 자동으로 암호를 해독합니다. 요청을 인증하기만 하면 액세스 권한을 갖게 되며, 객체의 암호화 여부와 관계없이 액세스 방식에는 차이가 없습니다. 예를 들어, 미리 서명된 URL을 사용하여 객체를 공유하는 경우, 해당 URL은 암호화된 객체와 암호화되지 않은 객체에 동일하게 작동합니다. 또한 버킷에 객체를 나열하는 경우 목록 API 작업은 암호화 여부와 관계없이 전체 객체의 목록을 반환합니다.

모든 Amazon S3 버킷에는 기본적으로 암호화가 구성되어 있으며 S3 버킷에 업로드되는 신규 객체는 모두 저장 시 자동으로 암호화됩니다. Amazon S3 관리형 키(SSE-S3)를 사용한 서버 측 암호화가 Amazon S3 내 모든 버킷의 기본 암호화 구성입니다. 다른 유형의 암호화를 사용하려면 S3 PUT 요청에 사용할 서버 측 암호화 유형을 지정하거나 대상 버킷에 기본 암호화 구성을 설정할 수 있습니다.

PUT 요청에 다른 암호화 유형을 지정하려는 경우 AWS Key Management Service(AWS KMS) 키를 사용한 서버 측 암호화(SSE-KMS), AWS KMS 키를 사용한 이중 계층 서버 측 암호화(DSSE-KMS) 또는 고객 제공 키를 사용한 서버 측 암호화 (SSE-C)를 사용할 수 있습니다. 대상 버킷에 다른 기본 암호화 구성을 설정하려는 경우 SSE-KMS 또는 DSSE-KMS를 사용할 수 있습니다.

참고

동일한 객체에 서로 다른 서버 측 암호화 유형을 동시에 적용할 수는 없습니다.

기존 객체를 암호화해야 하는 경우 S3 배치 작업 및 S3 인벤토리를 사용하십시오. 자세한 내용은 Amazon S3 배치 작업으로 객체 암호화Amazon S3 객체에 대한 대규모 배치 작업 수행 섹션을 참조하십시오.

선택한 암호화 키 관리 방법과 적용하려는 암호화 계층의 수에 따라 서버 측 암호화에 대해 네 가지 옵션을 독립적으로 사용할 수 있습니다.

Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)

모든 Amazon S3 버킷에는 기본적으로 암호화가 구성되어 있습니다. 서버 측 암호화의 기본 옵션은 Amazon S3 관리형 키(SSE-S3)를 사용하는 것입니다. 각 객체가 고유한 키로 암호화됩니다. 또한 추가 보안 조치로 SSE-S3는 주기적으로 교체되는 루트 키를 사용하여 키 자체를 암호화합니다. SSE-S3는 가장 강력한 블록 암호 중 하나인 256비트 Advanced Encryption Standard(AES-256)를 사용하여 데이터를 암호화합니다. 자세한 내용은 Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3) 사용 단원을 참조하십시오.

AWS Key Management Service(AWS KMS) 키(SSE-KMS)를 사용한 서버 측 암호화

AWS KMS keys(SSE-KMS)를 사용한 서버 측 암호화는 Amazon S3와 AWS KMS 서비스를 통합하여 제공됩니다. AWS KMS를 사용하면 키에 대한 제어 기능이 더 많아집니다. 예를 들어, 개별 키를 보고, 제어 정책을 편집하고, AWS CloudTrail에서 키를 팔로우할 수 있습니다. 또한 고객 관리형 키를 생성하고 관리하거나 사용자, 서비스 및 리전에 고유한 AWS 관리형 키를 사용할 수 있습니다. 자세한 내용은 AWS KMS 키를 사용한 서버 측 암호화(SSE-KMS) 사용 단원을 참조하십시오.

AWS Key Management Service(AWS KMS) 키를 사용한 이중 계층 서버 측 암호화(DSSE-KMS)

AWS KMS keys를 사용한 이중 계층 서버 측 암호화(DSSE-KMS)는 SSE-KMS와 비슷하지만 DSSE-KMS는 한 계층이 아닌 두 개의 개별 객체 수준 암호화 계층을 적용합니다. 두 암호화 계층 모두 서버 측 객체에 적용되므로 다양한 AWS 서비스 및 도구를 사용하여 S3의 데이터를 분석하는 동시에 규정 준수 요구 사항을 충족하는 암호화 방법을 사용할 수 있습니다. 자세한 내용은 AWS KMS 키를 사용한 이중 계층 서버 측 암호화(DSSE-KMS) 사용 단원을 참조하십시오.

고객 제공 키를 사용한 서버 측 암호화(SSE-C)

고객 제공 키를 사용한 서버 측 암호화(SSE-C)를 사용하면 사용자는 암호화 키를 관리하고 Amazon S3는 암호화(디스크에 쓸 때) 및 해독(객체에 액세스할 때)을 관리합니다. 자세한 내용은 고객 제공 키(SSE-C)로 서버 측 암호화 사용 단원을 참조하십시오.