Q53. AWS S3의 데이터 보관 및 보안 - 회계 기록의 장기 저장 전략

AWS 자격증을 준비하는 여러분, 안녕하세요. 오늘은 Amazon S3를 활용한 데이터의 장기 보관 및 보안 전략에 대해 알아보겠습니다. 특히 회계 기록과 같은 중요한 데이터를 장기간 안전하게 보관하는 방법을 살펴보겠습니다.

문제 상황

Q1:
회사는 Amazon S3에 회계 기록을 저장해야 합니다. 기록은 1년 동안 즉시 액세스할 수 있어야 하며 그 후 추가로 9년 동안 보관해야 합니다. 관리자 및 루트 사용자를 포함하여 회사의 그 누구도 전체 10년 동안 기록을 삭제할 수 없습니다. 기록은 최대한의 복원력으로 저장해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

<small>A company needs to store accounting records in Amazon S3. The records must be immediately accessible for 1 year and then must be archived for an additional 9 years. No one in the company, including administrators and root users, should be able to delete the records during the entire 10-year period. The records must be stored with maximum resiliency.
Which solution will meet these requirements?</small>

선택지

A. 전체 10년 동안 S3 Glacier에 기록을 저장합니다. 접근통제 정책을 사용하여 10년 동안 기록 삭제를 거부합니다.
<small>Store the records in S3 Glacier for the entire 10-year period. Use an access control policy to deny deletion of the records for 10 years.</small>

B. S3 Intelligent-Tiering을 사용하여 레코드를 저장합니다. IAM 정책을 사용하여 레코드 삭제를 거부합니다. 10년 후 삭제를 허용하도록 IAM 정책을 변경합니다.
<small>Store the records using S3 Intelligent-Tiering. Use an IAM policy to deny deletion of the records. Change the IAM policy to allow deletion after 10 years.</small>

C. S3 수명 주기 정책을 사용하여 1년 후에 S3 Standard에서 S3 Glacier Deep Archive로 레코드를 전환합니다. 10년 동안 규정 준수 모드에서 S3 Object Lock을 사용합니다.
<small>Use an S3 lifecycle policy to transition the records from S3 Standard to S3 Glacier Deep Archive after 1 year. Use S3 Object Lock in compliance mode for 10 years.</small>

D. S3 수명 주기 정책을 사용하여 1년 후 레코드를 S3 Standard에서 S3 One Zone-Infrequent Access(S3 One Zone-IA)로 전환합니다. 10년 동안 거버넌스 모드에서 S3 Object Lock을 사용합니다.
<small>Use an S3 lifecycle policy to transition the records from S3 Standard to S3 One Zone-Infrequent Access (S3 One Zone-IA) after 1 year. Use S3 Object Lock in governance mode for 10 years.</small>

정답 및 해설

정답은 C입니다.

S3 수명 주기 정책을 사용하여 1년 후에 S3 Standard에서 S3 Glacier Deep Archive로 레코드를 전환하고, 10년 동안 규정 준수 모드에서 S3 Object Lock을 사용하는 방법이 가장 적합합니다.

1. S3 Standard: 첫 1년 동안 즉시 액세스가 필요한 데이터를 저장합니다.
2. S3 Glacier Deep Archive: 1년 후 장기 보관이 필요한 데이터를 저장합니다. 이는 가장 저렴한 스토리지 옵션으로, 거의 액세스하지 않는 데이터에 적합합니다.
3. S3 Object Lock (규정 준수 모드): 지정된 기간 동안 객체 버전을 삭제하거나 덮어쓰는 것을 방지합니다. 규정 준수 모드에서는 루트 사용자를 포함한 어떤 사용자도 보호된 객체를 수정하거나 삭제할 수 없습니다.
4. S3 수명 주기 정책: 객체를 자동으로 다른 스토리지 클래스로 전환하여 스토리지 비용을 최적화합니다.

이 솔루션은 데이터의 즉시 접근성, 장기 보관, 삭제 방지, 그리고 비용 효율성을 모두 만족시킵니다.

<small>The correct answer is C. Using an S3 lifecycle policy to transition records from S3 Standard to S3 Glacier Deep Archive after 1 year, combined with S3 Object Lock in compliance mode for 10 years, best meets the requirements.

1. S3 Standard: Stores data for immediate access during the first year.
2. S3 Glacier Deep Archive: Provides the most cost-effective storage for long-term archival after the first year.
3. S3 Object Lock (Compliance mode): Prevents object versions from being deleted or overwritten for a specified period. In compliance mode, no user, including the root user, can modify or delete protected objects.
4. S3 Lifecycle Policy: Automatically transitions objects to different storage classes to optimize storage costs.

This solution satisfies the requirements for immediate accessibility, long-term archival, deletion prevention, and cost-effectiveness.</small>

오답 설명

A. S3 Glacier: 1년 동안 즉시 액세스해야 한다는 요구사항을 충족하지 못합니다. S3 Glacier는 검색에 몇 분에서 몇 시간이 소요될 수 있습니다.

<small>A. S3 Glacier: Does not meet the requirement for immediate access during the first year. S3 Glacier can take minutes to hours for retrieval.</small>

B. S3 Intelligent-Tiering: 특정 기간 동안 즉시 액세스해야 한다는 요구사항을 충족하지 못합니다. 또한 IAM 정책만으로는 루트 사용자의 삭제를 방지할 수 없습니다.

<small>B. S3 Intelligent-Tiering: Does not guarantee immediate access for a specific period. Also, IAM policies alone cannot prevent deletion by the root user.</small>

D. S3 One Zone-IA: 최대 복원력 요구사항을 충족하지 못합니다. 또한 거버넌스 모드의 S3 Object Lock은 권한이 있는 사용자가 보호를 제거할 수 있어 완전한 삭제 방지를 보장하지 않습니다.

<small>D. S3 One Zone-IA: Does not meet the maximum resiliency requirement. Also, S3 Object Lock in governance mode allows users with special permissions to remove protection, which doesn't guarantee complete deletion prevention.</small>

결론

이 문제는 AWS S3의 다양한 스토리지 클래스와 데이터 보호 기능에 대한 이해를 테스트합니다. 장기 데이터 보관 전략을 수립할 때는 접근성, 내구성, 비용, 그리고 규정 준수 요구사항을 모두 고려해야 합니다. S3 수명 주기 정책과 S3 Object Lock을 조합하여 사용하면 비용 효율적이면서도 안전한 데이터 보관 솔루션을 구현할 수 있습니다.

<small>This question tests understanding of various S3 storage classes and data protection features in AWS. When developing a long-term data archival strategy, it's crucial to consider accessibility, durability, cost, and compliance requirements. Combining S3 Lifecycle policies with S3 Object Lock allows for a cost-effective and secure data archival solution.</small>

원본 문제 링크