Amazon S3

Amazon S3

S3는 AWS의 주요 구성 중 하나이며 무한하게 확장할 수 있는 스토리지라고 설명한다 많은 웹이 S3를 활용하고 있으며 많은 AWS 서비스 자체도 아마존 S3를 통합을 위해 사용한다

 

S3 use cases

• 백업과 스토리지로 사용
• 재해 복구의 용도
• 아카이브용 -> 추후 매우 손쉽게 검색
• 하이브리드 클라우드 스토리지
• 동영상 파일이나 이미지등 미디어 호스트
• 대규모 데이터 분석
• 소프트웨어 배포
• 정적 웹사이트 호스팅(나스닥은 7년간 데이터를 S3의 저장)

 

S3 - buckets

• S3는 파일을 버킷에 저장하는데 버킷은 상위 레벨 디렉토리로 표시됨
• S3 버킷의 파일은 객체라고하며 버킷은 모든 계정, 리전을 포함하여 고유한 이름을 가져야 한다
• 버킷은 리전 레벨에서 정의됨
• 전역 서비스처럼 보이지만 리전에 따라 생성
• 네이밍컨벤션
  • 대문자 밑줄 불가
  • 3~63자
  • ip 주소불가
  • 소문자 숫자
  • xn 시작 불가
  • -3alias 마무리 불가
  • 소문자, 숫자, 하이픈만 사용하면 된다

 

Objects

• 객체는 키를 가진다
• 키는 객체가 있는 전체 경로를 의미하며, 폴더에 중첩되는 경우 상위 경로에 포함된다
  • s3://my-bucket/my_file.txt
  • s3://my-bucket/my_folder1/another_folder/my_file.txt
• 키는 접두사와 객체 이름으로 구성
  • • s3://my-bucket/my_folder1/another_folder/my_file.txt
  • 마지막엔 반드시 객체 이름이 온다
• S3 그 자체로는 디렉토리의 개념은 없다.
  • 다만 콘솔이나 UI를 보게 되면 다르게 생각하고 디렉토리를 만든다
• 핵심은 키이며 슬래시를 포함하고 접두사와 객체 이름으로 만들어진다
• 객체의 값은 본문의 내용
• 최대 크기 5TB, 매우 큰 파일을 업로드하는 경우 멀티파트 업로드를 통해 나눠야한다.
  • 100MB 이상의 파일을 업로드할 경우 멀티파트 업로드 필요
• 메타데이터(객체의 키 - 값 쌍 리스트) - 파일에 관한 요소나 메타 데이터
  • 태그 → 유니코드 키 값 쌍으로 최대 10개까지 가능하며 보안, 라이프사이클에 유용함
• 버전관리를 활성화한 경우 버전 아이디가 붙는다

 

실습

Bucket name은 고유함.

버킷은 글로벌 서비스가 아닌 특정 리전에 할당

 

공개 URL을 통해 접근하는 경우 안될수도 있다. → 설정이 필요함

서명된 URL이 필요한데 AWS에서 부여

일반적인 클라우드 스토리지 서비스와 UX가 매우 유사해서 어려운점은 없다

 

S3 보안

User-Based

• IAM 정책 - 특정 사용자에게 허용되어야 하는 API를 지정하거나 승인함

 

Resource-Based

• S3 버킷 정책 - S3 콘솔에서 직접 할당할 수 있는 넓은 버킷 규칙으로 특정 사용자를 허용하거나 다른 계정의 사용자를 허용할 수 있다
  • 이를 버킷에 엑세스할 수 있는 Cross Account라고 함
  • 동시에 S3 버킷을 공개로 만드는 방법이기도 함
• Object Access Control List (ACL) - 보다 세밀한 규칙 (비활성화 가능)
• Bucket Access Control List (ACL) - 버킷 수준에서 할 수 있는 규칙으로 OACL보다 일반적(비활성화 가능)

가장 일반적인 방법은 버킷 정책을 사용하는 것이다.

그렇다면 어떤 상황에서 IAM 정책이 S3 객체로 엑세스 할 수 있는 경우인가

• IAM 권한이 허용하거나 리소스 정책이 허용하는 경우
• 엑세스에 명확한 거부가 없는 경우

 

Encryption

• 암호키를 사용하여 객체를 암호화하는 방법

 

S3 Bucket Policies (버킷 정책)

• JSON 기반의 정책
  • Resources: 정책이 적용되는 버킷과 객체를 알려줌
  • Effect: 허용/거부 (Action을 거부하거나 허용하는 방식)
  • Action: 허용하거나 거부할 수 있는 작업의 집합
  • Principal: 정책을 적용할 계정과 사용자를 정의
• S3 버킷 정책의 의미
  • 버킷에 대한 퍼블릭 엑세스 권한을 부여 가능
  • 업로드시 객체를 강제 암호화
  • 다른 계정이 엑세스 할 수 있도록 하는 권한을 준다

 

Bucket settings for Block Public Access

• 버킷을 생성할 때 설정한 것, 기업 데이터 유출을 방지하기 위해 AWS가 개발한 추가 보안 계층
• S3 버킷 정책을 설정하여 공개로 만들어도 옵션이 활성화되어 있으면 절대 공개되지 않음
  • 공개하면 안된다면 이 버킷을 계속해서 설정해놓으면 됨
• 계정 수준에서 설정이 가능하다

 

Static Website Hosting

• S3에서 정적 웹사이트 호스팅과 인터넷 접근을 가능하게 함
• URL은 리전에 따라 달라짐
• public read 정책을 허용해야 함

 

Bucket Versioning

• 파일을 버전 관리 가능하며 버킷 수준에서 활성화해야함
• 동일한 키로 파일을 덮어쓰면 새로운 버전을 생성한다
• 의도하지 않게 삭제하지 않도록 보호해서 이전 버전을 복구 가능
• 이전 버전으로 쉽게 롤백할 수 있다

 

주의 사항

• 버전 관리를 활성화 하기전에 버전 관리가 적용되지 않은 모든 파일은 null 버전을 갖게 된다
• 버전 관리를 중단해도 이전 버전을 삭제하지 않는다

Versioning 실습

 

S3 복제 - Replication (CRR & SRR)

Cross-Region Replication (CRR): 교차 리전 복제

Same-Region Replication (SRR): 같은 리전으로 복제

• 소스 버킷과 복제 대상 버킷 둘 모두 버전 관리 기능이 활성화되어야 한다
• CRR은 리전이 달라야하고 SRR은 같아야함
• 복제는 비동기식으로 이루어지며 다른 AWS 계정 간에도 버킷 복제가 허용됨
• 복제 과정은 백그라운드에서 이루어짐
• S3에 올바른 읽기 쓰기 권한이 필요
• 사용 사례
  • CRR의 경우 법규 혹은 내부 체제 관리, 다른 리전에 있어 발생하는 지연 시간 줄이기, 계정 간 복제
  • SRR의 경우 다수의 S3 버킷간 로그 통합, 개발환경이 별도로 있어 운영 환경과 개발 환경간의 테스트를 위한 실시간 복제가 필요한 경우

 

복제 시 주의사항

• 복제를 활성화 한 경우에는 이후 새로 추가하는 객체만 복제 대상
• 기존의 객체를 복제하려면 S3 배치 복제를 사용해야 한다
  • 배치복제는 기존 객체부터 복제에 실패한 객체까지 복제할 수 있는 기능
• 작업을 삭제
  • 소스 버킷에서 대상 버킷으로 삭제 마커를 복제하면 됨(optional)
  • 버전 ID로 삭제하는 경우 버전 ID는 복제되지 않아 다른 버킷에서 삭제 불가
• 체이닝 복제는 불가능

 

버킷 객체 복제 실습

• 기본적으로 삭제 마커 복제는 활성화 되지 않지만 해당 옵션을 활성화하면 삭제 마커도 한 버킷에서 다른 버킷으로 복제되니 주의
• 또 주의할 점은 오리진 버킷에서 객체를 영구 삭제해도 복제 버킷에서는 삭제되지 않는다

 

S3 Storage Classes

• Amazon S3 Standard - General Purpose
• Amazon S3 Standard-Infrequent Access (IA)
• Amazon S3 One Zone-Infrequent Access
• Amazon S3 Glacier Instant Retrieval
• Amazon S3 Glacier Flexible Retrieval
• Amazon S3 Glacier Deep Archive
• Amazon S3 Intelligent Tiering

→ S3에서 객체를 생성할 때 클래스를 선택할 수 있고 수동으로 수정할수도 있다

→ 혹은 수명주기를 활용해 스토리지 클래스 간에 객체를 자동으로 이동할 수도 있다

 

S3 Durability and Availability

• Durablilty 내구성
  • S3로 인해 객체가 손실되는 횟수로 AWS는 뛰어난 내구성을 제공한다
  • 천만 개당 평균 10,000년에 한번씩 손실
  • 모든 스토리지 클래스의 내굿어은 동일
• Availability 가용성
  • 서비스가 얼마나 용이하게 제공되는지를 나타낸다
  • 스토리지 클래스에 따라 다랄진다
  • 애플리케이션을 개발할 때 고려해야 한다

 

S3 Standard – General Purpose

• 99.99% 가용성
• 자주 엑세스하는 데이터에 사용
• 지연시간이 짧고 처리량이 높다
• 두 개의 기능 장애를 동시에 버틸 수 있다
• 빅데이터 분석, 모바일 혹은 게임 애플리케이션, 콘텐츠 배포에서 사용

 

S3 Storage Classes – Infrequent Access

• 자주 엑세스하진 않지만 빠른 엑세스가 필요한 데이터
• 스탠다드보단 저렴하지만 검색 비용이 청구된다

 

Amazon S3 Standard-Infrequent Access (S3 Standard-IA)

99.9% 높은 가용성, 그리고 재해 복구와 백업

 

Amazon S3 One Zone-Infrequent Access (S3 One Zone-IA)

단일 AZ 내에서는 높은 내구성을 갖지만 AZ가 파괴된 경우 데이터를 잃는다

99.5%의 가용성과 온프레미스 데이터의 보조 백업 복사본, 재생성 가능한 데이터 저장에서 사용

 

 

Amazon S3 Glacier Storage Classes

• 아카이빙과 백업을 위한 저비용 객체 스토리지이다
• 비용에는 스토리지 비용과 검색 비용

 

Amazon S3 Glacier Instant Retrieval

밀리초 단위로 검색 가능하며 분기마다 한 번 엑세스하는 데이터에 적합하다

최소 보관 기간이 90일이고 백업이지만 밀리초 이내에 엑세스 해야하는 경우 적합하다

 

 

Amazon S3 Glacier Flexible Retrieval (formerly Amazon S3 Glacier)

티어가 추가되면서 이름이 바뀜

• 데이터를 받는데 걸리는 시간
  • Expedited → 1~5 min
  • Standard → 3~5 hours
  • Bulk → 5~12 hours, free
• 최소 보관기간 90일

 

Amazon S3 Glacier Deep Archive – for long term storage

• Standard → 12 hours
• Bulk → 48 hours

가장 저렴한 비용과 180일의 최소 보관 기간

 

S3 Intelligent-Tiering

• 사용 패턴에 따라 자동으로 허가된 티어 간 객체를 이동할 수 있게 해준다
• 소액의 월별 모니터링 비용과 티어링 비용이 발생한다
• 검색 비용은 없다

 

수치는 중요하지 않고 내용만 이해하면 된다