[AWS] Amazon S3 - MFA Delete & Access Logs

Amazon S3 - MFA Delete

• MFA는 멀티팩터 인증을 의미한다.
• 사용자가 장치에서 코드를 생성하도록 강제한다. 
    - Google Authenticator 애플리케이션이 설치된 휴대폰이나 MFA 하드웨어 장치에서
• MFA는 코드를 생성하는데 중요한 작업을 수행하기 전에 Amazon S3에 해당 코드를 삽입해야 한다.
• MFA는 언제 필요할까?
    - 객체 버전을 영구적으로 삭제할 때 필요하다.
    - 영구 삭제에 대한 보호 설정이다.
    - 버킷에서 버저닝을 중단할 때도 필요하다.
   (하지만 버저닝을 활성화거나 삭제된 버전을 나열하는 작업은 위험한 작업이 아니기 때문에 MFA가 굳이 필요하지 않다.)
• MFA Delete를 사용하려면 먼저 버킷에서 버저닝을 활성화해야 한다.
    - 버킷 소유자, 즉 루트 계정만이 MFA Delete를 활성화하거나 비활성화할 수 있다. 
• 기억해야 될 점
     - MFA Delete는 추가 보호 기능이며, 특정 객체 버전의 영구 삭제를 방지하는 역할을 한다는 점!!

 

 

S3 - Access Logs

• 감사 목적으로 S3 버킷에 대한 모든 액세스를 기록할 수 있는데, 어떠 계정에서든 S3로 보낸 모든 요청은 승인 또는 거부 여부와 상관없이 다른 S3 버킷에 파일로 기록된다.
• 해당 데이터는 Amazon Athena같은 데이터 분석 도구로 분석할 수 있다.
    - 대상 로깅 버킷은 같은 AWS 리전에 있어야 한다.

• 어떻게 작동할까?
    - S3 버킷에 요청할 경우 액세스 로그를 활성화해서 모든 요청이 로깅 버킷에 기록되도록 설정하면 된다.
• 특정 로그 형식이 있는데, 아래 URL에서 로그 형식을 확인할 수 있다.
    - https://docs.aws.amazon.com/AmazonS3/latest/userguide/LogFormat.html

 

S3 Access Logs : Warning

• 액세스 로그에는 몇가지 주의 사항이 있다.
• 절대로!! 로깅 버킷을 모니터링하는 버킷과 동일하게 설정하지 마세요.
    - 동일하게 설정하면 로깅 루프가 생성되고 무한 반복되어 버킷의 크기가 기하급수적으로 증가하게 됩니다. 
      = 객체를 넣었는데 앱 버킷과 로깅 버킷이 동일하면 로깅 루프가 생겨 로그를 반복적으로 기록하게 된다. 요금도 많이 나오고 절대로 집에서는 시도하지 마세요.