Amazon S3의 인프라 보안

관리형 서비스인 Amazon S3는 AWS Well-Architected Framework의 보안 원칙에 설명된 AWS 글로벌 네트워크 보안 절차로 보호됩니다.

네트워크를 통한 Amazon S3 액세스는 AWS에서 게시한 API를 통해 이루어집니다. 클라이언트가 전송 계층 보안(TLS) 1.2를 지원해야 합니다. TLS 1.3도 지원하는 것이 좋습니다. (이 권장 사항에 대한 자세한 내용은 AWS 보안 블로그에서 TLS 1.3을 사용한 AWS 클라우드 연결 가속화를 참조하십시오.) 클라이언트는 DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)와 같은 PFS(전달 완전 보안)가 포함된 암호 제품군도 지원해야 합니다. 또한, 유효한 자격 증명을 제공해야 하는 AWS 서명 V4 또는 AWS 서명 V2를 사용하여 요청에 서명해야 합니다.

네트워크 위치에서 이 API를 호출할 수 있습니다. 다만 Amazon S3는 원본 IP 주소 기반의 제한을 포함할 수 있는 리소스 기반 액세스 정책을 지원합니다. Amazon S3 버킷 정책을 사용하여 특정 Virtual Private Cloud(VPC) 엔드포인트 또는 특정 VPC의 버킷에 대한 액세스를 제어할 수도 있습니다. 그러면 AWS 네트워크의 특정 VPC에서만 특정 Amazon S3 버킷에 대한 네트워크 액세스가 효과적으로 격리됩니다. 자세한 내용은 버킷 정책을 사용하여 VPC 엔드포인트에서 액세스 제어 단원을 참조하십시오.

다음 보안 모범 사례에서도 Amazon S3의 인프라 보안을 다룹니다.

• Consider VPC endpoints for Amazon S3 access

• Identify and audit all your Amazon S3 buckets