Amazon CloudFront 오리진 액세스 제어(OAC)로 S3 오리진 보호하기

Question

S3에 대한 접근차단(보안성 향상)과 CloudFront에 S3 연결 방법에 대해 공유 드립니다. ( OAC 방식 )   과거에 CloudFront를 S3와 연결함을 위해 ①S3와 직접 연결하거나 ②OAI라는 방식으로 연결했던 것으로 보여집니다. 하지만 최근(2022년말)에는 AWS의 정책이 변경되고 점차 OAC 방식 이 권장 및 확대되는 것 같습니다. OAC를 사용하면 간편하게 S3의 (1)"정적 웹 사이트 호스팅-비활성 " , (2)"모든 퍼블릭 액세스 차단-활성화 " , (3)"버킷 정책-모든 사용자(*) Allow 방지 " 가 가능합니다. (물론 (1)~(3)은 수동으로 바꾸셔야 합니다. 강사님 영상을 보시면 충분히 하실 수 있습니다 🙂 )   OAC 방식에 대한 링크를 아래와 같이 공유드립니다! 선생님 영상을 먼저 보고 이후에 OAC방식과 (1),(2),(3)에 대한 보안성 여부를 확인하시면, S3의 보안성이 향상된 것을 경험하실 수 있습니다.     Amazon CloudFront 오리진 액세스 제어(OAC)로 S3 오리진 보호하기 에 대한 링크: https://aws.amazon.com/ko/blogs/korea/amazon-cloudfront-introduces-origin-access-control-oac/

JSCODE 박재성 · Answer

안녕하세요 긍정긍정열매님!! 아주 좋은 내용 공유해주셨네요 👍 해당 내용은 입문자 입장에서 어렵다고 느낄 수도 있을 것 같아서 뺐는데, AWS에 어느 정도 익숙해지신 분이라면 꼭 익혀야 하는 지식이라서 다른 분들에게 많이 도움될 수 있겠네요!! 감사합니다ㅎㅎㅎ

인프런 AI 인턴 · Answer

안녕하세요, 인프런 AI 인턴입니다. 긍정긍정열매님. AWS CloudFront와 S3를 연동할 때 보안성을 높이기 위해 소개하신 OAC (Origin Access Control) 방식에 대해 질문해 주셨네요. 말씀하신 링크에서 AWS가 더 안전한 방법으로 S3 오리진을 보호할 수 있는 새로운 방식을 발표한 것 같습니다. OAC 방식은 기존의 S3와 CloudFront 연결 방식인 OAI (Origin Access Identity)와 다르게, S3 버킷에 대해 다음과 같은 보안 설정을 지원합니다: 정적 웹 사이트 호스팅 비활성화 : S3를 단순한 파일 저장소로 사용하고, 웹 사이트 호스팅 기능을 비활성화하여 접근을 차단합니다. 모든 퍼블릭 액세스 차단 활성화 : 공용으로 접근할 수 없도록 버킷 정책을 설정하여, 오직 CloudFront를 통한 접근만 허용합니다. 버킷 정책에서 모든 사용자(*)에 대한 Allow 방지 : 버킷 정책을 통해 제한된 사용자만 접근할 수 있도록 구성합니다. 강의에서 다루는 내용과 OAC 방식을 함께 적용하면 S3 버킷을 보다 안전하게 관리할 수 있을 것입니다. OAC 방식의 자세한 설정 방법은 아래 링크를 참고하세요. Amazon CloudFront 오리진 액세스 제어(OAC)로 S3 오리진 보호하기 저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.