S3 Storage Lens를 사용하여 데이터 보호 - Amazon Simple Storage Service
기본 암호화에 SSE-KMS를 사용하지 않는 버킷 식별S3 버전 관리가 활성화된 버킷 식별AWS Signature Version 2(SigV2)를 사용하는 요청 식별각 버킷의 총 복제 규칙 수 계산객체 잠금 바이트의 백분율 확인

S3 Storage Lens를 사용하여 데이터 보호

Amazon S3 스토리지 렌즈 데이터 보호 지표를 사용하여 데이터 보호 모범 사례가 적용되지 않은 버킷을 식별할 수 있습니다. 이러한 지표를 사용하여 조치를 취하고 계정 또는 조직의 전체 버킷에서 데이터를 보호하기 위한 모범 사례에 맞는 표준 설정을 적용할 수 있습니다. 예를 들어 데이터 보호 지표를 사용하여 기본 암호화에 AWS Key Management Service(AWS KMS) 키(SSE-KMS)를 사용하지 않는 버킷이나 AWS Signature Version 2(SigV2)를 사용하는 요청을 식별할 수 있습니다.

다음 사용 사례는 S3 스토리지 렌즈 대시보드를 사용하여 S3 버킷 전체에서 이상값을 식별하고 데이터 보호 모범 사례를 적용하기 위한 전략을 제공합니다.

기본 암호화에 AWS KMS이(가) 포함된 서버 측 암호화(SSE-KMS)를 사용하지 않는 버킷 식별

Amazon S3 기본 암호화를 사용하면 S3 버킷의 기본 암호화 동작을 설정할 수 있습니다. 자세한 내용은 Amazon S3 버킷에 대한 기본 서버 측 암호화 동작 설정 섹션을 참조하세요.

SSE-KMS enabled bucket count(SSE-KMS 활성화 버킷 수) 및 % SSE-KMS enabled buckets(SSE-KMS 활성화 버킷 비율) 지표를 사용하여 기본 암호화에 AWS KMS 키가 포함된 서버 측 암호화(SSE-KMS)를 사용하는 버킷을 식별할 수 있습니다. 또한 S3 스토리지 렌즈는 암호화되지 않은 바이트, 암호화되지 않은 객체, 암호화된 바이트 및 암호화된 객체에 대한 지표를 제공합니다. 전체 측정치 목록은 Amazon S3 스토리지 렌즈 지표 용어집 단원을 참조하십시오.

일반 암호화 지표의 컨텍스트에서 SSE-KMS 암호화 지표를 분석하여 SSE-KMS를 사용하지 않는 버킷을 식별할 수 있습니다. 계정 또는 조직의 모든 버킷에 SSE-KMS를 사용하려면 SSE-KMS를 사용하도록 해당 버킷의 기본 암호화 설정을 업데이트할 수 있습니다. SSE-KMS 외에도 Amazon S3 관리형 키(SSE-S3) 또는 고객 제공 키(SSE-C)가 포함된 서버 측 암호화를 사용할 수 있습니다. 자세한 내용은 암호화로 데이터 보호 섹션을 참조하세요.

1단계: 기본 암호화에 SSE-KMS를 사용하는 버킷 식별

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 Storage Lens(스토리지 렌즈), Dashboards(대시보드)를 선택합니다.

  3. Dashboards(대시보드) 목록에서 보고자 하는 대시보드의 이름을 선택합니다.

  4. Trends and distributions(추세 및 배포) 섹션에서 기본 지표로 % SSE-KMS enabled bucket count(SSE-KMS 활성화 버킷 수 비율)를 선택하고 보조 지표로 % encrypted bytes(암호화된 바이트 비율)를 선택합니다.

    Trend for date(날짜에 대한 추세) 차트가 업데이트되어 SSE-KMS 및 암호화된 바이트에 대한 추세가 표시됩니다.

  5. SSE-KMS에 대한 보다 세분화된 버킷 수준 인사이트 보기:

    1. 차트에서 지점을 선택합니다. 보다 세부적인 인사이트를 얻을 수 있는 선택 항목이 포함된 상자가 나타납니다.

    2. Buckets(버킷) 차원을 선택합니다. 그 다음 적용을 선택합니다.

  6. Distribution by buckets for date(날짜에 대한 버킷 분포) 차트에서 SSE-KMS enabled bucket count(SSE-KMS 활성화 버킷 수) 지표를 선택합니다.

  7. 이제 SSE-KMS가 활성화된 버킷과 활성화되지 않은 버킷을 확인할 수 있습니다.

2단계: 버킷의 기본 암호화 설정 업데이트

% encrypted bytes(암호화된 바이트 비율)의 컨텍스트에서 SSE-KMS를 사용하는 버킷을 확인했으므로 이제 SSE-KMS를 사용하지 않는 버킷을 식별할 수 있습니다. 그런 다음 선택적으로 S3 콘솔 내에서 이러한 버킷으로 이동하고 SSE-KMS 또는 SSE-S3를 사용하도록 기본 암호화 설정을 업데이트할 수 있습니다. 자세한 내용은 기본 암호화 구성 섹션을 참조하세요.

S3 버전 관리가 활성화된 버킷 식별

S3 버전 관리 기능을 사용 설정하면 동일한 객체의 여러 버전을 보존하기 때문에 객체가 실수로 삭제되거나 덮어쓰여진 경우 데이터를 신속하게 복구할 수 있습니다. Versioning-enabled bucket count(버전 관리 활성화 버킷 수) 지표를 사용하여 S3 버전 관리를 사용하는 버킷을 확인할 수 있습니다. 그런 다음 S3 콘솔에서 조치를 취하여 다른 버킷에 S3 버전 관리를 활성화할 수 있습니다.

1단계: S3 버전 관리가 활성화된 버킷 식별

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 탐색 창에서 Storage Lens(스토리지 렌즈), Dashboards(대시보드)를 선택합니다.

  3. Dashboards(대시보드) 목록에서 보고자 하는 대시보드의 이름을 선택합니다.

  4. Trends and distributions(추세 및 배포) 섹션에서 기본 지표로 Versioning-enabled bucket count(버전 관리 활성화 버킷 수)를 선택하고 보조 지표로 Buckets(버킷)를 선택합니다.

    Trend for date(날짜에 대한 추세) 차트가 업데이트되어 S3 버전 관리가 활성화된 버킷에 대한 추세가 표시됩니다. 추세선 바로 아래에서 Storage class distribution(스토리지 클래스 분포) 및 Region distribution(리전 분포) 하위 섹션을 볼 수 있습니다.

  5. Trend for date(날짜에 대한 추세) 차트에 표시되는 특정 버킷에 대한 보다 세분화된 인사이트를 보고 보다 심층적인 분석을 수행하려면 다음과 같이 하세요.

    1. 차트에서 지점을 선택합니다. 보다 세부적인 인사이트를 얻을 수 있는 선택 항목이 포함된 상자가 나타납니다.

    2. 보다 심층적인 분석을 위해 데이터에 적용할 차원(Account(계정), AWS 리전, Storage class(스토리지 클래스) 또는 Bucket(버킷))을 선택합니다. 그 다음 적용을 선택합니다.

  6. Bubble analysis by buckets for date(날짜에 대한 버킷별 거품형 분석) 섹션에서 Versioning-enabled bucket count(버전 관리 활성화 버킷 수), Buckets(버킷) 및 Active buckets(활성 버킷) 지표를 선택합니다.

    Bubble analysis by buckets for date(날짜에 대한 버킷별 거품형 분석) 섹션이 업데이트되어 선택한 지표에 대한 데이터가 표시됩니다. 이 데이터를 사용하여 총 버킷 수의 컨텍스트에서 S3 버전 관리가 활성화된 버킷을 확인할 수 있습니다. Bubble analysis by buckets for date(날짜에 대한 버킷별 거품형 분석) 섹션에서는 X-axis(X축), Y-axis(Y축) 및 Size(크기)를 나타내는 지표 3개를 사용한 다차원 도표에 버킷을 표현할 수 있습니다.

2단계: S3 버전 관리 활성화

S3 버전 관리가 활성화된 버킷을 식별한 후에는 S3 버전 관리가 활성화된 적이 없거나 버전 관리가 일시 중단된 버킷을 식별할 수 있습니다. 그런 다음 S3 콘솔에서 이러한 버킷의 버전 관리를 선택적으로 활성화할 수 있습니다. 자세한 내용은 버킷에 버전 관리 사용 설정 섹션을 참조하세요.

AWS Signature Version 2(SigV2)를 사용하는 요청 식별

All unsupported signature requests(지원되지 않는 모든 서명 요청) 지표를 사용하여 AWS Signature Version 2(SigV2)를 사용하는 요청을 식별할 수 있습니다. 이 데이터는 SigV2를 사용하는 특정 애플리케이션을 식별하는 데 도움이 될 수 있습니다. 그런 다음 이러한 애플리케이션을 AWS Signature Version 4(SigV4)로 마이그레이션할 수 있습니다.

SigV4는 모든 새 S3 애플리케이션에 권장되는 서명 방법입니다. SigV4는 향상된 보안을 제공하며 모든 AWS 리전에서 지원됩니다. 자세한 내용은 Amazon S3 업데이트 - SigV2 사용 중단 기간 연장 및 수정을 참조하세요.

전제 조건

S3 스토리지 렌즈 대시보드에서 All unsupported signature requests(지원되지 않는 모든 서명 요청)를 보려면 S3 스토리지 렌즈 Advanced metrics and recommendations(고급 지표 및 권장 사항)를 활성화한 다음 Advanced data protection metrics(고급 데이터 보호 지표)를 선택해야 합니다. 자세한 내용은 Amazon S3 스토리지 렌즈 대시보드 생성 및 업데이트 섹션을 참조하세요.

1단계: AWS 계정, 리전 및 버킷별 SigV2 서명 추세 검토

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 Storage Lens(스토리지 렌즈), Dashboards(대시보드)를 선택합니다.

  3. Dashboards(대시보드) 목록에서 보고자 하는 대시보드의 이름을 선택합니다.

  4. SigV2를 사용하는 요청이 있는 특정 버킷, 계정 및 리전 식별:

    1. Top N(상위 N개)의 Top N overview for date(날짜에 대한 상위 N개 개요) 아래에서 데이터를 보려는 버킷의 수를 입력합니다.

    2. Metric(지표)에는 Data protection(데이터 보호) 범주의 All unsupported signature requests(지원되지 않는 모든 서명 요청)를 선택합니다.

      Top N overview for date(날짜에 대한 상위 N개 개요)가 업데이트되어 계정, AWS 리전 및 버킷별 SigV2 요청에 대한 데이터가 표시됩니다. Top N overview for date(날짜에 대한 상위 N개 개요) 섹션에는 이전 날짜 또는 이전 주로부터의 변동 백분율과 추세를 시각화하는 스파크라인도 표시됩니다. 이 추세는 무료 지표의 경우 14일 추세이고 고급 지표 및 권장 사항의 경우 30일 추세입니다.

      참고

      S3 스토리지 렌즈 고급 지표 및 권장 사항 을 통해 15개월 동안 쿼리에 지표를 사용할 수 있습니다. 자세한 내용은 지표 선택 섹션을 참조하세요.

2단계: 애플리케이션이 SigV2 요청을 통해 액세스하는 버킷 식별

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 Storage Lens(스토리지 렌즈), Dashboards(대시보드)를 선택합니다.

  3. Dashboards(대시보드) 목록에서 보고자 하는 대시보드의 이름을 선택합니다.

  4. 스토리지 렌즈 대시보드에서 Bucket(버킷) 탭을 선택합니다.

  5. 아래로 스크롤하여 Buckets(버킷) 섹션을 찾습니다. Metrics categories(지표 범주)에서 Data protection(데이터 보호)을 선택합니다. 그런 다음 Summary(요약)를 지웁니다.

    Buckets(버킷) 목록이 업데이트되어 표시된 버킷에 사용 가능한 모든 Data protection(데이터 보호) 지표가 표시됩니다.

  6. 특정 데이터 보호 지표만 표시하도록 Buckets(버킷) 목록을 필터링하려면 기본 설정 아이콘( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. )을 선택합니다.

  7. 다음 지표만 선택된 상태가 될 때까지 모든 데이터 보호 지표에 대한 토글을 지웁니다.

    • All unsupported signature requests(지원되지 않는 모든 서명 요청)

    • % all unsupported signature requests(지원되지 않는 모든 서명 요청 비율)

  8. (선택 사항) Page size(페이지 크기)에서 목록에 표시할 버킷 수를 선택합니다.

  9. 확인을 선택합니다.

    Buckets(버킷) 목록이 업데이트되어 SigV2 요청에 대한 버킷 수준 지표가 표시됩니다. 이 데이터를 사용하여 SigV2 요청이 있는 특정 버킷을 식별할 수 있습니다. 그런 다음 이 정보를 사용하여 애플리케이션을 SigV4로 마이그레이션할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조요청 인증(AWS 서명 버전 4)을 참조하세요.

각 버킷의 총 복제 규칙 수 계산

S3 복제를 사용하면 Amazon S3 버킷 전체에 걸쳐 객체를 비동기식으로 자동 복사할 수 있습니다. 객체 복제를 위해 구성된 버킷은 동일한 AWS 계정 또는 다른 계정이 소유할 수 있습니다. 자세한 내용은 객체 복제 개요 섹션을 참조하세요.

S3 스토리지 렌즈 복제 규칙 수 지표를 사용하여 복제용으로 구성된 버킷에 대한 자세한 버킷별 정보를 얻을 수 있습니다. 이 정보에는 버킷 및 리전 내부 및 리전 간의 복제 규칙이 포함됩니다.

전제 조건

S3 스토리지 렌즈 대시보드에서 복제 규칙 수 지표를 보려면 S3 스토리지 렌즈 Advanced metrics and recommendations(고급 지표 및 권장 사항)를 활성화한 다음 Advanced data protection metrics(고급 데이터 보호 지표)를 선택해야 합니다. 자세한 내용은 Amazon S3 스토리지 렌즈 대시보드 생성 및 업데이트 섹션을 참조하세요.

1단계: 각 버킷의 총 복제 규칙 수 계산

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 Storage Lens(스토리지 렌즈), Dashboards(대시보드)를 선택합니다.

  3. Dashboards(대시보드) 목록에서 보고자 하는 대시보드의 이름을 선택합니다.

  4. 스토리지 렌즈 대시보드에서 Bucket(버킷) 탭을 선택합니다.

  5. 아래로 스크롤하여 Buckets(버킷) 섹션을 찾습니다. Metrics categories(지표 범주)에서 Data protection(데이터 보호)을 선택합니다. 그런 다음 Summary(요약)를 지웁니다.

  6. 복제 규칙 수 지표만 표시하도록 Buckets(버킷) 목록을 필터링하려면 기본 설정 아이콘( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. )을 선택합니다.

  7. 복제 규칙 수 지표만 선택된 상태가 될 때까지 모든 데이터 보호 지표에 대한 토글을 지웁니다.

    • Same-Region Replication rule count(동일 리전 복제 규칙 수)

    • Cross-Region Replication rule count(크로스 리전 복제 규칙 수)

    • Same-account replication rule count(동일 계정 복제 규칙 수)

    • Cross-account replication rule count(크로스 계정 복제 규칙 수)

    • Total replication rule count(총 복제 규칙 수)

  8. (선택 사항) Page size(페이지 크기)에서 목록에 표시할 버킷 수를 선택합니다.

  9. 확인을 선택합니다.

2단계: 복제 규칙 추가

버킷별 복제 규칙 수를 확인한 후 선택적으로 추가 복제 규칙을 생성할 수 있습니다. 자세한 내용은 라이브 복제 구성 예제 섹션을 참조하세요.

객체 잠금 바이트의 백분율 확인

S3 객체 잠금을 사용하면 write-once-read-many(WORM) 모델을 사용하여 객체를 저장할 수 있습니다. 객체 잠금을 사용하여 고정된 시간 동안 또는 무기한으로 객체의 삭제 또는 덮어쓰기를 방지할 수 있습니다. 버킷을 생성할 때만 객체 잠금을 활성화하고 S3 버전 관리도 활성화할 수 있습니다. 하지만 개별 객체 버전의 보존 기간을 편집하거나 객체 잠금이 활성화된 버킷에 법적 보류를 적용할 수 있습니다. 자세한 내용은 S3 객체 잠금 사용 섹션을 참조하세요.

S3 스토리지 렌즈의 객체 잠금 지표를 사용하여 계정 또는 조직의 % Object Lock bytes(객체 잠금 바이트 비율) 지표를 확인할 수 있습니다. 이 정보를 사용하여 계정 또는 조직에서 데이터 보호 모범 사례를 따르지 않는 버킷을 식별할 수 있습니다.

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 Storage Lens(스토리지 렌즈), Dashboards(대시보드)를 선택합니다.

  3. Dashboards(대시보드) 목록에서 보고자 하는 대시보드의 이름을 선택합니다.

  4. Snapshot(스냅샷) 섹션의 Metrics categories(지표 범주)에서 Data protection(데이터 보호)을 선택합니다.

    Snapshot(스냅샷) 섹션이 업데이트되어 % Object Lock bytes(객체 잠금 바이트 비율) 지표를 비롯한 데이터 보호 지표가 표시됩니다. 계정 또는 조직에 대한 객체 잠금 바이트의 전체 백분율을 볼 수 있습니다.

  5. 버킷당 % Object Lock bytes(객체 잠금 바이트 비율)를 보려면 아래로 스크롤하여 Top N overview(상위 N개 개요) 섹션으로 이동합니다.

    객체 잠금에 대한 객체 수준 데이터를 가져오려면 Object Lock object count(객체 잠금 객체 수) 및 % Object Lock objects(객체 잠금 객체 비율)를 사용할 수도 있습니다.

  6. Metric(지표)에는 Data protection(데이터 보호) 범주의 % Object Lock bytes(객체 잠금 바이트 비율)를 선택합니다.

    Top N overview for date(날짜에 대한 상위 N개 개요) 섹션에는 기본적으로 상위 3개 버킷에 대한 지표가 표시됩니다. Top N(상위 N개) 필드에서 버킷 수를 늘릴 수 있습니다. Top N overview for date(날짜에 대한 상위 N개 개요) 섹션에는 이전 날짜 또는 이전 주로부터의 변동 백분율과 추세를 시각화하는 스파크라인도 표시됩니다. 이 추세는 무료 지표의 경우 14일 추세이고 고급 지표 및 권장 사항의 경우 30일 추세입니다.

    참고

    S3 스토리지 렌즈 고급 지표 및 권장 사항 을 통해 15개월 동안 쿼리에 지표를 사용할 수 있습니다. 자세한 내용은 지표 선택 섹션을 참조하세요.

  7. % Object Lock bytes(객체 잠금 바이트 비율)에 대한 다음 데이터를 검토합니다.

    • Top number accounts(상위 개수 계정) ‐ % Object Lock bytes(객체 잠금 바이트 비율)이 가장 높은 계정과 가장 낮은 계정을 확인합니다.

    • Top number Regions(상위 개수 리전) ‐ % Object Lock bytes(객체 잠금 바이트 비율)의 리전별 분석을 확인합니다.

    • Top number buckets(상위 개수 버킷) ‐ % Object Lock bytes(객체 잠금 바이트 비율)이 가장 높은 버킷과 가장 낮은 버킷을 확인합니다.