Amazon S3의 보안 모범 사례 - Amazon Simple Storage Service
Amazon S3 보안 모범 사례Amazon S3 모니터링 및 감사 모범 사례

Amazon S3의 보안 모범 사례

Amazon S3는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 지침이라기보다는 권장 사항으로만 사용해 주십시오.

Amazon S3 보안 모범 사례

다음과 같은 Amazon S3 모범 사례를 통해 보안 사고를 예방할 수 있습니다.

액세스 제어 목록(ACL) 비활성화

S3 객체 소유권은 버킷에 업로드되는 객체의 소유권을 제어하고 ACL을 비활성화 또는 활성화하는 데 사용할 수 있는 Amazon S3 버킷 수준 설정입니다. 기본적으로 객체 소유권은 버킷 소유자 적용 설정으로 설정되며 모든 ACL이 비활성화되어 있습니다. ACL이 비활성화되면 버킷 소유자는 버킷의 모든 객체를 소유하고 액세스 관리 정책을 사용하여 데이터에 대한 액세스를 독점적으로 관리합니다.

Amazon S3의 현대적인 사용 사례 대부분은 더 이상 액세스 제어 목록(ACL) 사용을 요구하지 않습니다. 각 객체에 대해 액세스를 개별적으로 제어해야 하는 드문 상황을 제외하고는 ACL을 비활성화하는 것이 좋습니다. ACL을 비활성화하고 버킷 내 모든 객체의 소유권을 얻으려면 S3 객체 소유권에 버킷 소유자 적용 설정을 적용합니다. ACL을 사용 중지하면 다른 AWS 계정이 업로드한 객체로 버킷을 쉽게 유지 관리할 수 있습니다.

ACL이 비활성화되면 데이터에 대한 액세스 제어가 다음과 같은 정책을 기반으로 합니다.

  • AWS Identity and Access Management(IAM) 사용자 정책

  • S3 버킷 정책

  • Virtual Private Cloud(VPC) 엔드포인트 정책

  • AWS Organizations 서비스 제어 정책(SCP)

ACL을 비활성화하면 권한 관리와 감사가 단순화됩니다. 신규 버킷에는 기본적으로 ACL이 비활성화됩니다. 기존 버킷에 대해서도 ACL을 비활성화할 수 있습니다. 이미 객체가 있는 기존 버킷이 있는 경우 ACL을 비활성화하면 객체 및 버킷 ACL이 더 이상 액세스 평가 프로세스에 포함되지 않습니다. 대신 정책에 따라 액세스가 허용되거나 거부됩니다.

ACL을 사용하려면 다음을 수행해야 합니다.

  • 버킷 정책을 검토하여 계정 외부에서 버킷에 대한 액세스 권한을 부여하려는 모든 방법을 포함하는지 확인합니다.

  • 버킷 ACL을 기본값으로 재설정합니다(버킷 소유자에 대한 전체 제어 권한).

ACL을 비활성화하면 다음과 같은 동작이 발생합니다.

  • 버킷은 ACL을 지정하지 않은 PUT 요청이나 버킷 소유자의 전체 제어 ACL이 있는 PUT 요청만 수락합니다. 이러한 ACL에는 bucket-owner-full-control 미리 준비된 ACL 또는 XML로 표현되는 이와 동등한 형식의 ACL이 포함됩니다.

  • 버킷 소유자 전체 제어 ACL을 지원하는 기존 애플리케이션은 영향을 받지 않습니다.

  • 다른 ACL(예: 특정 AWS 계정에 대한 사용자 정의 권한 부여)이 포함된 PUT 요청은 실패하고 오류 코드 AccessControlListNotSupported와 함께 400 (Bad Request) 오류를 반환합니다.

자세한 내용은 객체 소유권 제어 및 버킷에 대해 ACL 사용 중지 단원을 참조하십시오.

Amazon S3 버킷이 올바른 정책을 사용하게 하고 이 버킷에 대한 퍼블릭 액세스 방지

인터넷의 누군가에게 S3 버킷을 읽거나 이 버킷에 쓰도록 명시적으로 요구하지 않을 경우 S3 버킷이 공개되지 않도록 하십시오. 퍼블릭 액세스를 차단하기 위해 다음과 같이 몇 가지 단계를 수행할 수 있습니다.

  • S3 퍼블릭 액세스 차단을 사용합니다. S3 퍼블릭 액세스 차단을 사용하면 중앙 집중식 제어를 쉽게 설정하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 제한할 수 있습니다. 이러한 중앙 집중식 제어는 리소스 생성 방식과 관계없이 적용됩니다. 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단 단원을 참조하십시오.

  • "Principal": "*"(사실상 '누구나'를 의미함)과 같은 와일드카드 ID를 허용하는 Amazon S3 버킷 정책을 식별합니다. 와일드카드 작업 "*"(Amazon S3 버킷에서 작업을 수행하도록 사용자에게 효과적으로 허용)를 허용하는 정책을 찾습니다.

  • 마찬가지로 '모든 사용자'나 '인증된 모든 AWS 사용자'에게 읽기, 쓰기 또는 모든 액세스 권한을 제공하는 Amazon S3 버킷 액세스 제어 목록(ACL)을 찾습니다.

  • ListBuckets API 작업을 사용하여 모든 Amazon S3 버킷을 스캔합니다. 그런 다음 GetBucketAcl, GetBucketWebsiteGetBucketPolicy를 사용하여 버킷에 규정을 준수하는 액세스 제어와 규정을 준수하는 구성이 있는지 확인합니다.

  • AWS Trusted Advisor를 사용하여 Amazon S3 구현을 조사합니다.

  • s3-bucket-public-read-prohibiteds3-bucket-public-write-prohibited 관리형 AWS Config 규칙을 사용하여 지속적인 탐지 제어를 구현하는 것을 고려해 보십시오.

자세한 내용은 Amazon S3의 Identity and Access Management 단원을 참조하십시오.

최소 권한 액세스 구현

권한을 부여할 때 누가 어떤 Amazon S3 리소스에 대해 어떤 권한을 갖는지 결정합니다. 해당 리소스에서 허용할 작업을 사용 설정합니다. 따라서 작업을 수행하는 데 필요한 권한만 부여하는 것을 권장합니다. 최소 권한 액세스를 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 최소화할 수 있는 근본적인 방법입니다.

다음과 같은 도구를 사용하여 최소 권한 액세스를 구현할 수 있습니다.

앞에 나온 메커니즘 중 하나 이상을 선택할 때 고려할 사항에 관한 지침은 액세스 정책 지침 단원을 참조하십시오.

Amazon S3 액세스가 필요한 애플리케이션 및 AWS 서비스에 IAM 역할 사용

Amazon EC2 또는 다른 AWS 서비스에서 실행되는 애플리케이션이 Amazon S3 리소스에 액세스하기 위해서는 AWS API 요청에 유효한 AWS 보안 인증 정보가 있어야 합니다. AWS 보안 인증 정보를 애플리케이션이나 Amazon EC2 인스턴스에 직접 저장하지 않는 것을 권장합니다. 이러한 보안 인증은 자동으로 교체되지 않으며 손상된 경우 비즈니스에 큰 영향을 줄 수 있는 장기 보안 인증입니다.

그 대신 IAM 역할을 사용하여 Amazon S3에 액세스해야 하는 애플리케이션이나 서비스의 임시 보안 인증 정보를 관리하십시오. 역할을 사용할 때 Amazon EC2 인스턴스나 AWS 서비스(예: AWS Lambda)에 장기 보안 인증 정보(예: 사용자 이름과 암호 또는 액세스 키)를 배포할 필요가 없습니다. 애플리케이션에서 다른 AWS 리소스를 호출할 때 사용할 수 있는 임시 권한을 역할이 제공합니다.

자세한 내용은 IAM 사용 설명서에서 다음 주제를 참조하십시오.

유휴 데이터 암호화 고려

Amazon S3에서 유휴 데이터를 보호하는 다음과 같은 옵션이 있습니다.

  • 서버 측 암호화 - 모든 Amazon S3 버킷에는 기본적으로 암호화가 구성되어 있으며 S3 버킷에 업로드되는 신규 객체는 모두 저장 시 자동으로 암호화됩니다. Amazon S3 관리형 키(SSE-S3)를 사용한 서버 측 암호화가 Amazon S3 내 모든 버킷의 기본 암호화 구성입니다. 다른 유형의 암호화를 사용하려면 S3 PUT 요청에 사용할 서버 측 암호화 유형을 지정하거나 대상 버킷에 기본 암호화 구성을 설정할 수 있습니다.

    또한 Amazon S3는 다음과 같은 서버 측 암호화 옵션을 제공합니다.

    • AWS Key Management Service(AWS KMS) 키(SSE-KMS)를 사용한 서버 측 암호화

    • AWS Key Management Service(AWS KMS) 키를 사용한 이중 계층 서버 측 암호화(DSSE-KMS)

    • 고객 제공 키를 사용한 서버 측 암호화(SSE-C)

    자세한 내용은 서버 측 암호화를 사용하여 데이터 보호 단원을 참조하십시오.

  • 클라이언트측 암호화 – 클라이언트 측에서 데이터를 암호화하여 암호화된 데이터를 Amazon S3에 업로드합니다. 이 경우 사용자가 암호화 프로세스, 암호화 키 및 관련 도구를 관리합니다. 서버 측 암호화를 사용할 때처럼, 클라이언트 측 암호화를 사용하면 데이터 자체를 저장하는 것과는 다른 메커니즘으로 저장되는 키로 데이터를 암호화하여 위험을 줄일 수 있습니다.

    Amazon S3에서는 여러 가지 클라이언트 측 암호화 옵션을 제공합니다. 자세한 내용은 클라이언트측 암호화를 사용하여 데이터 보호 단원을 참조하십시오.

전송 중인 데이터의 암호화 강제 시행

HTTPS(TLS)를 사용하여 잠재적 공격자가 네트워크 트래픽을 염탐하거나 중간자 또는 그와 유사한 공격을 사용하여 네트워크 트래픽을 조작하지 못하게 할 수 있습니다. Amazon S3 버킷 IAM 정책에 aws:SecureTransport 조건을 사용하여 HTTPS(TLS)를 통해 암호화된 연결만 허용하는 것을 권장합니다.

또한 s3-bucket-ssl-requests-only 관리형 AWS Config 규칙을 사용하여 지속적인 탐지 제어를 구현하는 것을 고려해 보세요.

S3 객체 잠금 고려

S3 객체 잠금을 사용하면 Write Once Read Many(WORM) 모델을 사용하여 객체를 저장할 수 있습니다. S3 객체 잠금은 부적절하거나 실수로 인한 데이터 삭제를 예방하는 데 도움이 됩니다. 예를 들어 S3 객체 잠금을 사용하여 AWS CloudTrail 로그를 보호할 수 있습니다.

자세한 내용은 S3 객체 잠금 사용 단원을 참조하십시오.

S3 버전 관리 활성화

S3 버전 관리는 동일 버킷 내에 여러 개의 객체 변형을 보유하는 것을 의미합니다. 버전 관리를 사용하여 버킷에 저장된 모든 버전의 객체를 모두 보존, 검색 및 복원할 수 있습니다. 또한 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 쉽게 복구할 수 있습니다.

또한 s3-bucket-versioning-enabled 관리형 AWS Config 규칙을 사용하여 지속적인 탐지 제어를 구현하는 것을 고려해 보세요.

자세한 내용은 S3 버킷에서 버전 관리 사용 단원을 참조하십시오.

S3 크로스 리전 복제 사용 고려

Amazon S3는 기본적으로 여러 지역에 있는 다양한 가용 영역에 데이터를 저장하지만 규정 준수 요구 사항에 따라 훨씬 먼 거리에 데이터를 저장해야 할 수도 있습니다. 크로스 리전 복제(CRR)를 사용하면 멀리 있는 AWS 리전 간에 데이터를 복제하여 이 요구 사항을 충족할 수 있습니다. CRR은 여러 AWS 리전에 있는 버킷 간에 객체를 비동기식으로 자동 복제할 수 있게 합니다. 자세한 내용은 객체 복제 단원을 참조하십시오.

참고

CRR을 사용할 경우 원본 및 대상 S3 버킷 둘 다 버전 관리가 활성화되어 있어야 합니다.

또한 s3-bucket-replication-enabled 관리형 AWS Config 규칙을 사용하여 지속적인 탐지 제어를 구현하는 것을 고려해 보십시오.

Amazon S3 액세스에 대해 VPC 엔드포인트 사용 고려

Amazon S3용 Virtual Private Cloud(VPC) 엔드포인트는 VPC 내의 논리적 엔터티로서, Amazon S3에만 연결을 허용합니다. VPC 엔드포인트는 트래픽이 개방형 인터넷을 통과하는 것을 방지하는 데 도움이 될 수 있습니다.

Amazon S3용 VPC 엔드포인트는 Amazon S3 데이터에 대한 액세스를 제어하는 다양한 방법을 제공합니다.

  • S3 버킷 정책을 사용하여 특정 VPC 엔드포인트를 통해 허용되는 요청, 사용자 또는 그룹을 제어할 수 있습니다.

  • S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 갖게되는 VPC 또는 VPC 종단점을 제어할 수 있습니다.

  • 인터넷 게이트웨이가 없는 VPC를 사용하여 데이터 유출을 방지할 수 있습니다.

자세한 내용은 버킷 정책을 사용하여 VPC 엔드포인트에서 액세스 제어 단원을 참조하십시오.

관리형 AWS 보안 서비스를 사용하여 데이터 보안 모니터링

여러 관리형 AWS 보안 서비스를 통해 Amazon S3 데이터의 보안 및 규정 준수 위험을 식별, 평가 및 모니터링할 수 있습니다. 이러한 서비스는 이러한 위험으로부터 데이터를 보호하는 데도 도움이 될 수 있습니다. 이러한 서비스에는 단일 AWS 계정의 Amazon S3 리소스에서 수천 개의 계정에 걸친 조직을 위한 리소스로 확장하도록 설계된 자동화된 탐지, 모니터링 및 보호 기능이 포함됩니다.

자세한 내용은 관리형 AWS 보안 서비스를 사용하여 데이터 보안 모니터링 단원을 참조하십시오.

Amazon S3 모니터링 및 감사 모범 사례

다음과 같은 Amazon S3 모범 사례는 잠재적 보안 약점과 사고를 탐지하는 데 도움이 됩니다.

모든 Amazon S3 버킷 식별 및 감사

IT 자산 식별은 거버넌스와 보안의 중요한 측면입니다. 모든 Amazon S3 리소스를 파악하여 보안 태세를 평가하고 약점이 될 수 있는 부분에 대해 조치를 취해야 합니다. 리소스를 감사하려면 다음을 수행하는 것이 좋습니다.

  • Tag Editor를 사용하여 보안이나 감사에 민감한 리소스를 식별하고 태그를 지정한 후, 이 리소스를 검색해야 할 때 태그를 이용하십시오. 자세한 내용은 AWS 리소스 태그 지정 사용 설명서의 태그를 지정할 리소스 검색을 참조하십시오.

  • S3 인벤토리를 사용하여 비즈니스, 규정 준수 및 규제 요건에 대한 객체의 복제 및 암호화 상태를 감사하고 보고합니다. 자세한 내용은 Amazon S3 인벤토리 단원을 참조하십시오.

  • Amazon S3 리소스에 대한 Resource Groups을 생성합니다. Resource Groups에 대한 자세한 내용은 AWS Resource Groups 사용 설명서Resource Groups란 무엇인가요?를 참조하십시오.

AWS 모니터링 도구를 사용하여 모니터링 구현

모니터링은 Amazon S3 및 AWS 솔루션의 안정성, 보안, 가용성 및 성능을 유지하는 데 중요한 부분입니다. AWS에서는 Amazon S3 및 다른 AWS 서비스를 모니터링할 수 있는 여러 가지 도구와 서비스를 제공합니다. 예를 들어 Amazon S3에 대한 Amazon CloudWatch 지표(특히 PutRequests, GetRequests, 4xxErrorsDeleteRequests 지표)를 모니터링할 수 있습니다. 자세한 내용은 Amazon CloudWatch를 사용한 지표 모니터링Amazon S3 모니터링 단원을 참조하세요.

두 번째 예는 예제: Amazon S3 버킷 작업을 참조하십시오. 이 예에서는 버킷 정책, 버킷 수명 주기 또는 버킷 복제 구성을 PUT 또는 DELETE하거나 버킷 ACL을 PUT하기 위해 Amazon S3 API가 호출될 때 트리거되는 CloudWatch 경보를 생성하는 방법을 설명합니다.

Amazon S3 서버 액세스 로깅 사용

서버 액세스 로깅은 버킷에 대해 이루어진 요청의 상세 레코드를 제공합니다. 서버 액세스 로그는 보안 및 액세스 감사에 도움이 되고, 고객 기반을 파악하고 Amazon S3 청구서를 이해하는 데 유용합니다. 서버 액세스 로깅 사용 설정에 대한 자세한 내용은 서버 액세스 로깅을 사용한 요청 로깅 섹션을 참조하십시오.

또한 s3-bucket-logging-enabled AWS Config 관리형 규칙을 사용하여 지속적인 탐지 제어를 구현하는 것을 고려해 보십시오.

AWS CloudTrail 사용

AWS CloudTrail은 Amazon S3에서 사용자, 역할 또는 AWS 서비스가 수행한 작업에 대한 레코드를 제공합니다. CloudTrail에서 수집한 정보를 사용하여 다음을 확인할 수 있습니다.

  • Amazon S3에 대한 요청

  • 요청을 보낸 IP 주소

  • 요청한 사람

  • 요청을 한 시간

  • 요청에 대한 추가 세부 정보

예를 들어 데이터 액세스에 영향을 주는 PUT 작업(특히 PutBucketAcl, PutObjectAcl, PutBucketPolicyPutBucketWebsite)의 CloudTrail 항목을 식별할 수 있습니다.

AWS 계정을 설정하면 CloudTrail이 기본적으로 사용됩니다. CloudTrail 콘솔에서 최근 이벤트를 볼 수 있습니다. Amazon S3 버킷에 대한 활동 및 이벤트에 대한 지속적인 레코드를 생성하려면 CloudTrail 콘솔에서 추적을 생성하면 됩니다. 자세한 내용을 알아보려면 AWS CloudTrail 사용 설명서의 데이터 이벤트 로깅을 참조하십시오.

추적을 생성할 때 데이터 이벤트를 로그로 기록하도록 CloudTrail을 구성할 수 있습니다. 데이터 이벤트는 리소스에 대해 또는 리소스 내에서 수행되는 리소스 작업의 레코드입니다. Amazon S3에서 데이터 이벤트는 개별 버킷에 대한 객체 수준 API 활동을 기록합니다. CloudTrail은 GetObject, DeleteObjectPutObject와 같은 Amazon S3 객체 수준 API 작업의 하위 집합을 지원합니다. CloudTrail이 Amazon S3에서 작동하는 방식에 대한 자세한 내용은 AWS CloudTrail을 사용하여 Amazon S3 API 호출 로깅 단원을 참조하십시오. Amazon S3 콘솔에서 S3 버킷을 S3 버킷 및 객체에 대한 CloudTrail 이벤트 로깅 사용 설정에 구성할 수도 있습니다.

AWS Config는 하나 이상의 CloudTrail 추적이 S3 버킷에 대한 데이터 이벤트를 로그로 기록하고 있는지 확인하는 데 사용할 수 있는 관리형 규칙(cloudtrail-s3-dataevents-enabled)을 제공합니다. 자세한 내용은 AWS Config 개발자 안내서cloudtrail-s3-dataevents-enabled 섹션을 참조하십시오.

사용 설정AWS Config

이 주제에 나오는 여러 가지 모범 사례는 AWS Config 규칙 생성을 제안합니다. AWS Config를 사용하면 AWS 리소스의 구성을 평가, 감사 및 측정하는 데 도움이 됩니다. AWS Config는 리소스 구성을 모니터링하여 원하는 보안 구성을 기준으로 기록된 구성을 평가할 수 있게 해줍니다. AWS Config을 사용하여 다음 작업을 할 수 있습니다.

  • 구성 변경 사항 및 AWS 리소스 간의 관계 검토

  • 자세한 리소스 구성 기록 조사

  • 내부 지침에 지정된 구성을 기준으로 전반적인 준수 여부를 확인합니다.

AWS Config를 사용하면 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결 작업을 간소화할 수 있습니다. 자세한 내용은 AWS Config 개발자 안내서콘솔을 통해 AWS Config 설정을 참조하십시오. 기록할 리소스 유형을 지정할 때 Amazon S3 리소스를 포함해야 합니다.

중요

AWS Config 관리형 규칙은 Amazon S3 리소스를 평가할 때 범용 버킷만 지원합니다. AWS Config는 디렉터리 버킷의 구성 변경을 기록하지 않습니다. 자세한 내용은 AWS Config 개발자 안내서의 AWS Config 관리형 규칙AWS Config 관리형 규칙 목록을 참조하세요.

AWS Config를 사용하는 방법의 예시를 보려면 AWS 보안 블로그의 AWS Config를 사용하여 퍼블릭 액세스를 허용하는 Amazon S3 버킷을 모니터링하고 이에 응답하는 방법을 참조하십시오.

Amazon Macie를 사용하여 민감한 데이터 검색

Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 민감한 데이터를 검색하는 보안 서비스입니다. Macie는 데이터 보안 위험에 대한 가시성을 제공하고 이러한 위험에 대한 자동화된 보호를 지원합니다. Macie를 사용하면 Amazon S3 데이터 자산에서 민감한 데이터의 검색 및 보고를 자동화하여 조직이 S3에 저장하는 데이터를 더 잘 이해할 수 있습니다.

Macie를 사용하여 민감한 데이터를 감지하려면 규모가 크고 점점 더 늘어나는 많은 국가 및 리전에 대한 민감한 데이터 유형 목록을 탐지하도록 설계된 기본 제공 기준 및 기법을 사용할 수 있습니다. 이러한 민감한 데이터 유형에는 여러 유형의 개인 식별 정보(PII), 재무 데이터 및 보안 인증 데이터가 포함됩니다. 직접 정의하는 사용자 지정 기준을 사용할 수도 있습니다. 즉, 일치시킬 텍스트 패턴을 정의하는 정규 표현식 및 원하는 경우 결과를 세분화하는 문자 시퀀시 및 근접성 규칙을 사용할 수 있습니다.

Macie가 S3 객체에서 민감한 데이터를 탐지하면 Macie는 보안 조사 결과를 생성하여 사용자에게 알립니다. 이 조사 결과는 영향을 받는 객체에 대한 정보, Macie가 발견한 민감한 데이터의 유형 및 발생 횟수, 영향을 받는 S3 버킷 및 객체를 조사하는 데 도움이 되는 추가 세부 정보를 제공합니다. 자세한 내용은 Amazon Macie 사용 설명서를 참조하세요.

S3 스토리지 렌즈 사용

S3 스토리지 렌즈는 조직 전반에서 객체 스토리지 사용 및 활동에 대한 가시성을 확보하는 데 사용할 수 있는 클라우드 스토리지 분석 기능입니다. S3 스토리지 렌즈는 또한 지표를 분석해 스토리지 비용을 최적화하고 데이터 보호에 대한 모범 사례를 적용하는 데 사용할 수 있는 상황별 권장 사항을 제공합니다.

S3 스토리지 렌즈ㄹ의 지표를 사용하여 조직 전반의 스토리지 용량 또는 가장 빠르게 증가하는 버킷과 접두사 등의 요약 인사이트를 생성할 수 있습니다. 또한 S3 스토리지 렌즈 지표를 사용하여 비용 최적화 기회를 식별하고, 데이터 보호 및 액세스 관리 모범 사례를 구현하고, 애플리케이션 워크로드의 성능을 개선할 수 있습니다.

예를 들어 S3 수명 주기 규칙이 없는 버킷을 식별하여 7일이 넘게 경과한 미완료 멀티파트 업로드를 중단할 수 있습니다. 또한 S3 복제 또는 S3 버전 관리 사용과 같은 데이터 보호 모범 사례를 따르지 않는 버킷을 식별할 수 있습니다. 자세한 내용은 Amazon S3 스토리지 렌즈 이해를 참조하십시오.

AWS 보안 공지 모니터링

AWS 계정의 Trusted Advisor에 게시되는 보안 권고 사항을 정기적으로 확인하는 것이 좋습니다. 특히 '공개 액세스 권한'이 있는 Amazon S3 버킷에 대한 경고를 찾아보십시오. 이 작업은 describe-trusted-advisor-checks를 사용하여 프로그래밍 방식으로 수행할 수 있습니다.

뿐만 아니라, 각 AWS 계정에 등록된 기본 이메일 주소를 적극적으로 모니터링하십시오. 사용자에게 영향을 줄 수 있는 보안 문제가 생기면 AWS에서 이 이메일 주소를 사용하여 연락 드립니다.

널리 영향을 미치는 AWS 운영 문제는 AWS Health Dashboard - 서비스 상태에 게시됩니다. AWS Health Dashboard를 통해 개별 계정에도 운영 문제가 게시됩니다. 자세한 내용은 AWS Health 설명서를 참조하십시오.