Glacier Vault Lock Policy vs Object Lock 비교 표
| 항목 | Glacier Vault Lock | S3 Object Lock |
| 적용 대상 | Vault(아카이브 컨테이너) 전체 | S3 객체 단위 |
| 리소스 위치 | S3 Glacier / Glacier Deep Archive | S3 Standard, IA, One Zone, Glacier 등 |
| 보존 단위 | Vault 전체 (단일 정책) | 객체별 보존 설정 가능 |
| WORM 적용 방식 | Vault Lock 정책을 통한 전체 보호 | Object Lock + Retention 또는 Legal Hold |
| 보존 기간 설정 | 정책 내 기간 명시 | 객체마다 retention 날짜 설정 가능 |
| Lock 설정 | 테스트 단계 후 Lock 확정 필요 (일회성) | 객체 업로드 시 또는 이후 설정 가능 |
| 규정 준수 강도 | 강력 (변경 불가) | 리걸 홀드 및 규정 모드(compliance)로 유연하게 운영 가능 |
| 삭제 방지 대상 | Vault 내 모든 아카이브 | 개별 객체 또는 전체 버킷 구성 가능 |
| CLI/API 설정 | glacier initiate-vault-lock, complete-vault-lock 등 | s3api put-object-lock-configuration 등 |
Glacier Vault Lock Policy 잠금 ID
- Lock ID는 Vault Lock 정책이 설정되는 동안의 세션을 식별하는 고유 식별자(ID)이다.
- Vault Lock은 2단계 프로세스로 구성되며, 이 중 1단계에서 생성되는 임시 식별자가 Lock ID이다.
- 정책 검증 기간 24시간(기본값) 내 검증을 완료한 뒤 적용해야하고, 초과되면 테스트 세션(Lock ID)이 만료된다.
- 검증이 완료되면 최종적으로 Lock ID가 확정된다.
- 한 번 잠그면 변경이 불가능해 2단계 프로세스에 나눠 한 번 더 확인한 뒤 최종적으로 적용되도록 설계되어 있다.
예제 문제
한 회사가 Amazon S3 Glacier에 민감한 데이터를 보관하려고 합니다. 회사의 규제 및 규정 준수 요건에 따라 어떤 계정도 데이터를 수정할 수 없습니다.
이러한 요건을 충족하는 솔루션은 무엇입니까?
- A. 보관된 데이터가 포함된 S3 Glacier 볼트에 볼트 잠금 정책을 연결합니다. 잠금 ID를 사용하여 24시간 후에 볼트 잠금 정책을 검증합니다.
- B. 보관된 데이터가 포함된 S3 Glacier 볼트에 볼트 잠금 정책을 연결합니다. 잠금 ID를 사용하여 24시간 이내에 볼트 잠금 정책을 검증합니다.
- C. 거버넌스 모드에서 S3 객체 잠금을 구성합니다. 모든 파일은 24시간 후에 업로드합니다.
- D. 거버넌스 모드에서 S3 객체 잠금을 구성하세요. 모든 파일을 24시간 이내에 업로드하세요.
더보기
답 : B
이유 : 특정 객체만 잠그는 것이 아니라 Glacier 전체 아카이브에 대한 설정이므로 Glacier Vault Lock Policy를 사용해야 한다.
'Certificate > AWS SOA-C02' 카테고리의 다른 글
| [AWS] AWS Backup, 한 번에 이해하기 (0) | 2025.04.18 |
|---|---|
| [AWS] AWS OpsWorks, 한 번에 이해하기 (0) | 2025.04.18 |
| [AWS] 퍼센타일 개념과 CloudWatch에서의 활용, 한 눈에 이해하기 (0) | 2025.04.17 |
| [AWS] Amazon S3 교차 리전 복제 (Cross-Region Replication, CRR), 한 눈에 이해하기 (0) | 2025.04.17 |
| [AWS] AWS Resource Access Manager(AWS RAM), StackSets와의 비교, 한 눈에 이해하기 (0) | 2025.04.17 |
