기본 암호화 관련 FAQ - Amazon Simple Storage Service

기본 암호화 관련 FAQ

이제 Amazon S3가 Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)를 Amazon S3 내 모든 버킷 암호화의 기본 수준으로 적용합니다. 2023년 1월 5일부터 Amazon S3로의 모든 새 객체 업로드는 추가 비용 없이 성능에 영향을 미치지 않고 자동으로 암호화됩니다. 256비트 고급 암호화 표준(AES-256)을 사용하는 SSE-S3는 모든 새 버킷과 기본 암호화가 구성되어 있지 않은 기존 S3 버킷에 자동으로 적용됩니다. S3 버킷 기본 암호화 구성에 및 신규 객체 업로드에 대한 자동 암호화 상태는 AWS CloudTrail 로그, S3 인벤토리, S3 스토리지 렌즈, Amazon S3 콘솔에서 사용할 수 있으며, AWS Command Line Interface(AWS CLI) 및 AWS SDK에서 추가 Amazon S3 API 응답 헤더로도 사용할 수 있습니다.

다음 섹션에서는 이 업데이트에 대한 질문과 답변을 제공합니다.

이미 기본 암호화가 구성되어 있는 기존 버킷의 기본 암호화 설정도 Amazon S3가 변경하나요?

아니요. 이미 SSE-S3 또는 AWS Key Management Service(AWS KMS) 키(SSE-KMS)를 사용한 서버 측 암호화가 구성된 기존 버킷은 기본 암호화 구성이 변경되지 않습니다. 버킷에 기본 암호화 동작을 설정하는 방법에 대한 자세한 내용은 Amazon S3 버킷에 대한 기본 서버 측 암호화 동작 설정 페이지를 참조하십시오. SSE-S3 및 SSE-KMS 암호화 설정에 대한 자세한 내용은 서버 측 암호화를 사용하여 데이터 보호 페이지를 참조하십시오.

기본 암호화가 구성되지 않은 기존 버킷에서 기본 암호화가 활성화되나요?

예. 암호화되지 않은 기존의 모든 버킷에 이제 Amazon S3가 기본 암호화를 구성하여, 이들 버킷에 새로 업로드되는 객체에 Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)를 적용합니다. 기존의 암호화되지 않은 버킷에 이미 있는 객체는 자동으로 암호화되지 않습니다.

새 객체 업로드의 기본 암호화 상태를 보려면 어떻게 해야 합니까?

현재, 신규 객체 업로드의 기본 암호화 상태는 AWS CloudTrail 로그, S3 인벤토리, S3 스토리지 렌즈, Amazon S3 콘솔에서 확인할 수 있으며, AWS Command Line Interface(AWS CLI) 및 AWS SDK에서 추가 Amazon S3 API 응답 헤더로도 확인할 수 있습니다.

  • CloudTrail 이벤트를 보려면 AWS CloudTrail 사용 설명서CloudTrail 콘솔에서 CloudTrail 이벤트 보기를 참조하십시오. CloudTrail 로그는 Amazon S3로의 PUTPOST 요청에 대한 API 추적을 제공합니다. 버킷 내 객체 암호화에 기본 암호화가 사용되면 PUTPOST API 요청에 대한 CloudTrail 로그에 "SSEApplied":"Default_SSE_S3" 필드가 이름-값 쌍으로 포함됩니다.

  • S3 인벤토리에서 새 객체 업로드의 자동 암호화 상태를 보려면 Encryption(암호화) 메타데이터 필드를 포함하도록 S3 인벤토리 보고서를 구성한 다음 보고서에서 각 새 객체의 암호화 상태를 확인하십시오. 자세한 내용은 Amazon S3 인벤토리 설정을 참조하십시오.

  • S3 스토리지 렌즈에서 새 객체 업로드에 대한 자동 암호화 상태를 보려면 S3 스토리지 렌즈 대시보드를 구성하고 대시보드의 Data protection(데이터 보호) 범주에서 Encrypted bytes(암호화된 바이트) 및 Encrypted object count(암호화된 객체 수) 지표를 확인하십시오. 자세한 내용은 S3 콘솔 사용대시보드에서 S3 스토리지 렌즈 지표 보기 단원을 참조하세요.

  • Amazon S3 콘솔에서 자동 버킷 수준 암호화 상태를 보려면 Amazon S3 콘솔에서 Amazon S3 버킷의 기본 암호화를 확인하십시오. 자세한 내용은 기본 암호화 구성 단원을 참조하십시오.

  • 자동 암호화 상태를 AWS Command Line Interface(AWS CLI) 및 AWS SDK에서 추가 Amazon S3 API 응답 헤더로 확인하려면 객체 작업 API(예: PutObjectGetObject)를 사용할 때 x-amz-server-side-encryption 응답 헤더를 확인하십시오.

이 변경 사항을 활용하려면 어떻게 해야 합니까?

기존 애플리케이션을 변경할 필요는 없습니다. 모든 버킷에 기본 암호화가 활성화되어 있어, Amazon S3에 새로 업로드되는 모든 객체는 자동으로 암호화됩니다.

버킷에 새로 기록되는 객체의 암호화를 비활성화할 수 있습니까?

아니요. SSE-S3 암호화는 버킷에 새로 업로드되는 모든 객체에 적용되는 새로운 기본 암호화 수준입니다. 새 객체 업로드에 대한 암호화는 더 이상 비활성화할 수 없습니다.

요금이 영향을 받습니까?

아니요. SSE-S3 기본 암호화 기능은 추가 비용 없이 제공됩니다. 스토리지, 요청 등 S3 기능에 대한 요금이 기존과 똑같이 청구됩니다. 요금에 대해서는 Amazon S3 요금을 참조하십시오.

암호화되지 않은 기존 객체도 Amazon S3가 암호화합니까?

아니요. Amazon S3는 2023년 1월 5일부터 새로 업로드되는 객체만 자동으로 암호화합니다. 기존 객체를 암호화하려면 S3 배치 작업을 사용하여 객체의 암호화된 사본을 생성하면 됩니다. 이렇게 암호화된 사본은 기존 객체 데이터 및 이름을 유지하고, 지정한 암호화 키를 사용하여 암호화됩니다. 자세한 내용은 AWS Storage 블로그Encrypting objects with Amazon S3 Batch Operations(Amazon S3 배치 작업에서 객체 암호화)를 참조하십시오.

이번 릴리스 전에 내 버킷에 암호화를 활성화하지 않았습니다. 객체에 액세스하는 방법을 변경해야 합니까?

아니요. SSE-S3 기본 암호화 기능을 사용하면 Amazon S3에 기록되는 데이터가 자동으로 암호화되고, 해당 데이터에 액세스할 때 데이터가 자동으로 복호화됩니다. 자동으로 암호화된 객체에 액세스하는 방식에는 변화가 없습니다.

클라이언트측 암호화된 내 객체에 액세스하는 방법을 변경해야 합니까?

아니요. Amazon S3에 업로드되기 전에 클라이언트측 암호화된 모든 객체는 암호화된 사이퍼텍스트 객체로 Amazon S3에 도착합니다. 이러한 객체에 이제 SSE-S3 암호화 계층이 추가로 놓입니다. 클라이언트측 암호화된 객체를 사용하는 워크로드는 클라이언트 서비스 또는 권한 부여 설정을 변경할 필요가 없습니다.

참고

업데이트된 버전의 AWS Provider를 사용하지 않는 HashiCorp Terraform 사용자는 고객 정의 암호화 구성 없이 새 S3 버킷을 생성하면 예기치 않은 드리프트를 경험할 수 있습니다. 이러한 드리프트를 피하려면 Terraform AWS Provider 버전을 모든 4.x 릴리스, 3.76.1, 2.70.4 버전 중 하나로 업데이트해야 합니다.