aws-iam

AWS Weekly Roundup: Amazon S3 turns 20, Amazon Route 53 Global Resolver general availability, and more (March 16, 2026) | Amazon Web Services (새 탭에서 열림)

2026년 3월 14일, 클라우드 인프라의 초석인 Amazon S3가 출시 20주년을 맞이하며 500조 개 이상의 객체를 관리하는 거대 플랫폼으로 성장했습니다. 이번 주 AWS는 S3의 역사적인 이정표와 함께, 전 세계 어디서나 보안 DNS 쿼리가 가능한 Route 53 Global Resolver의 정식 출시를 발표했습니다. 이외에도 생성형 AI 에이전트 개발을 위한 Bedrock의 상태 저장 기능 강화와 Windows Server 2025 지원 등 보안과 효율성을 높이는 다양한 업데이트가 포함되었습니다. ### Amazon S3 20주년과 계정 지역 네임스페이스 도입 - **성장 지표**: 출시 이후 20년 동안 S3는 전 세계적으로 초당 2억 건 이상의 요청을 처리하며, 기가바이트당 비용을 출시 대비 약 85% 절감하는 혁신을 이루었습니다. - **계정 지역 네임스페이스**: 일반 범용 버킷 이름에 계정별 고유 접미사를 추가할 수 있는 기능이 도입되어, 원하는 버킷 이름을 다른 계정의 선점 걱정 없이 독점적으로 예약하고 사용할 수 있습니다. - **거버넌스 강화**: `s3:x-amz-bucket-namespace` 조건 키를 활용해 IAM 정책이나 AWS Organizations의 서비스 제어 정책(SCP) 수준에서 조직 내 네임스페이스 채택을 강제할 수 있습니다. ### Amazon Route 53 Global Resolver 정식 출시 - **애니캐스트(Anycast) DNS**: 특정 VPC나 리전에 국한되지 않고 전 세계 어디서나 승인된 클라이언트가 공용 및 사설 도메인을 해석할 수 있는 애니캐스트 방식의 DNS 리졸버를 제공합니다. - **보안 필터링**: 악성 도메인, 업무 부적합 콘텐츠, DNS 터널링 및 도메인 생성 알고리즘(DGA)을 이용한 지능형 위협을 차단하며, 특히 이번 정식 출시를 통해 사전 기반 DGA 위협 방어 기능이 추가되었습니다. - **통합 관리**: IPv4와 IPv6 쿼리 트래픽을 모두 지원하며, 중앙 집중식 쿼리 로깅을 통해 네트워크 보안 가시성을 확보할 수 있습니다. ### Amazon Bedrock AgentCore의 상태 저장 MCP 지원 - **상태 저장 MCP 서버**: Model Context Protocol(MCP)을 지원하여 개발자가 사용자 세션 컨텍스트를 유지하는 에이전트를 구축할 수 있으며, 각 세션은 격리된 마이크로VM(microVM)에서 실행됩니다. - **세션 관리 및 상호작용**: `Mcp-Session-Id` 헤더를 통해 여러 상호작용 간에 컨텍스트를 유지하며, 정교한 입력 수집(Elicitation) 및 샘플링 기능을 통해 사용자 맞춤형 결과 생성이 가능합니다. - **진행 알림**: 장시간 실행되는 작업 중에 클라이언트에게 실시간 진행 상황을 공유하여 사용자 경험을 개선할 수 있습니다. ### 인프라 및 개발자 생산성 업데이트 - **Amazon WorkSpaces**: Windows Server 2025를 지원하여 TPM 2.0, UEFI 보안 부팅, Credential Guard 등 최신 보안 기능이 포함된 가상 데스크톱 환경을 구성할 수 있습니다. - **AWS Builder ID 로그인 확장**: 기존 구글, 애플 계정 외에도 GitHub 및 Amazon 계정 정보를 사용하여 AWS 빌더 센터 및 교육 사이트에 간편하게 로그인할 수 있습니다. - **Amazon Redshift COPY 템플릿**: 자주 사용하는 데이터 적재 파라미터를 템플릿으로 저장하고 재사용할 수 있어, 데이터 수집 작업의 일관성을 유지하고 유지보수 노력을 줄여줍니다. 이번 업데이트는 대규모 데이터 관리의 편의성과 글로벌 네트워크 보안, 그리고 차세대 AI 애플리케이션 개발 환경 구축에 초점을 맞추고 있습니다. 특히 S3의 네임스페이스 기능과 Route 53 Global Resolver는 엔터프라이즈 급 보안과 명명 규칙 관리에 큰 도움이 되므로 즉시 도입을 검토해 보시기 바랍니다.

Amazon S3 범용 버킷을 위한 계정 리전별 네임스페이스 소개 | Amazon Web Services (새 탭에서 열림)

Amazon S3에서 일반 용도 버킷(General Purpose Bucket)을 위한 '계정 리전별 네임스페이스(Account Regional Namespace)' 기능을 새롭게 출시했습니다. 이제 사용자는 계정 고유의 접미사를 활용해 버킷 이름을 생성함으로써 전역적인 이름 중복 문제를 해결하고 원하는 이름을 즉시 확보할 수 있습니다. 이 기능은 버킷 생성 및 관리 프로세스를 대폭 간소화하며, 조직 전체의 보안 정책을 통해 일관된 명명 규칙을 강제할 수 있도록 지원합니다. ### 계정 리전별 네임스페이스의 동작 방식 * 기존의 S3 버킷 이름은 전 세계 모든 AWS 계정에서 유일해야 했으나, 새 기능을 사용하면 특정 계정과 리전 내에서만 고유하면 됩니다. * 버킷 이름은 `[사용자 정의 접두사]-[AWS 계정 ID]-[리전명]-an` 형식을 따릅니다. (예: `mybucket-123456789012-us-east-1-an`) * 계정 고유 접미사가 포함된 이름은 해당 계정에서만 점유할 수 있으며, 타인의 계정에서 동일한 접미사로 버킷을 생성하려는 시도는 자동으로 차단됩니다. ### 보안 및 거버넌스 관리 * 보안 팀은 IAM 정책이나 AWS Organizations의 서비스 제어 정책(SCP) 내에서 `s3:x-amz-bucket-namespace` 조건 키를 사용할 수 있습니다. * 이를 통해 사내 직원이 버킷을 생성할 때 반드시 계정 리전별 네임스페이스를 사용하도록 규정할 수 있어, 전역 네임스페이스 혼용으로 인한 관리상의 혼선을 방지합니다. ### 인프라 자동화 및 개발 도구 활용 * **AWS CLI 및 SDK**: 버킷 생성 시 `--bucket-namespace account-regional` 파라미터를 추가하여 간단히 적용할 수 있으며, Python(Boto3) 등 다양한 언어의 SDK를 지원합니다. * **CloudFormation**: `BucketName` 속성에 의사 매개변수(`AWS::AccountId`, `AWS::Region`)를 조합하거나, 신규 속성인 `BucketNamePrefix`를 사용하여 접미사가 자동으로 붙도록 템플릿을 구성할 수 있습니다. * **콘솔 UI**: S3 콘솔에서 버킷 생성 시 'Account regional namespace' 옵션을 선택하는 것만으로 기능을 활성화할 수 있습니다. ### 주요 고려 사항 및 제약 * 이 기능은 일반 용도 버킷에만 적용되며, 이미 고유한 네임스페이스 체계를 가진 S3 테이블, 벡터, 디렉터리 버킷에는 해당되지 않습니다. * 기존에 전역 네임스페이스로 생성된 버킷의 이름을 계정 리전별 형식으로 직접 변경(Rename)할 수는 없으므로, 필요 시 새 버킷을 생성해야 합니다. * 전체 버킷 이름 길이는 기존과 동일하게 3자에서 63자 사이여야 하며, 현재 한국을 포함한 37개 AWS 리전에서 추가 비용 없이 즉시 사용 가능합니다. 새로운 프로젝트를 시작하거나 IaC(코드형 인프라) 템플릿을 설계할 때 계정 리전별 네임스페이스를 기본으로 채택하는 것을 권장합니다. 이를 통해 버킷 이름 중복으로 인한 생성 실패 오류를 원천 차단하고, 여러 계정과 리전에 걸친 인프라 배포 효율성을 극대화할 수 있습니다.

Amazon Lightsail에서 자율 프라이 (새 탭에서 열림)

Amazon Lightsail에서 자율형 프라이빗 AI 에이전트인 OpenClaw를 정식으로 지원하며, 복잡한 설치 과정 없이 클릭 몇 번만으로 나만의 디지털 비서를 구축할 수 있게 되었습니다. OpenClaw는 사용자의 브라우저와 연동되어 메시징 앱 연결, 웹 브라우징, 파일 관리 등 단순한 질의응답 이상의 능동적인 태스크를 수행합니다. 특히 Amazon Bedrock이 기본 모델 공급자로 사전 구성되어 있어, 별도의 서버 설정 없이도 즉시 강력한 AI 기능을 활용할 수 있다는 것이 큰 장점입니다. ### OpenClaw와 Amazon Lightsail의 결합 * **자율형 프라이빗 AI 에이전트:** OpenClaw는 단순 챗봇을 넘어 이메일 관리, 웹 서핑, 파일 정리 등 실제 컴퓨터 작업을 대신 수행하는 오픈소스 디지털 비서입니다. * **손쉬운 배포 환경:** 기존에는 개인이 직접 설치하거나 EC2에 구성하는 과정이 까다로웠으나, 이제 Lightsail의 'Blueprints' 메뉴에서 OpenClaw를 선택하는 것만으로 자동 최적화된 인스턴스를 생성할 수 있습니다. * **다양한 채널 확장성:** 브라우저뿐만 아니라 WhatsApp, Discord, Telegram 등 주요 메시징 앱과 연결하여 모바일 환경에서도 AI 에이전트에게 명령을 내릴 수 있습니다. ### 설치 및 보안 브라우저 페어링 과정 * **인스턴스 사양 및 생성:** 최적의 성능을 위해 4GB 이상의 메모리 플랜을 권장하며, AWS 리전과 플랫폼(Linux/Unix)을 선택한 후 OpenClaw 청사진으로 인스턴스를 생성합니다. * **보안 연결(Pairing):** 대시보드 접근을 위해 브라우저와 인스턴스를 안전하게 연결해야 합니다. Lightsail의 SSH 터미널을 통해 생성된 대시보드 URL과 보안 액세스 토큰(Gateway Token)을 확인하여 브라우저에 등록합니다. * **장치 승인:** 터미널 창에서 페어링 요청에 대해 승인('y' 및 'a' 입력) 절차를 거치면 브라우저와 OpenClaw 인스턴스 간의 보안 연결이 완료됩니다. ### Amazon Bedrock 기반의 AI 기능 활성화 * **기본 모델 공급자:** OpenClaw 인스턴스는 Amazon Bedrock을 기본 모델로 사용하도록 사전 설정되어 있습니다. * **IAM 권한 설정:** Bedrock API에 접근하기 위해 AWS CloudShell에서 제공되는 전용 스크립트를 실행해야 하며, 이를 통해 인스턴스에 필요한 IAM 역할(Role)과 정책이 자동으로 구성됩니다. * **유연한 모델 활용:** Bedrock을 통해 제공되는 Anthropic Claude나 Cohere 등 다양한 타사 모델을 선택하여 목적에 맞는 성능을 구현할 수 있습니다. ### 운영 고려 사항: 비용 및 보안 * **비용 구조:** Lightsail 인스턴스에 대한 시간당 요금과 Amazon Bedrock 사용량에 따른 토큰 기반 비용이 별도로 발생합니다. 타사 모델 사용 시 추가 소프트웨어 비용이 발생할 수 있음을 유의해야 합니다. * **권한 제어:** 인스턴스에 부여된 IAM 권한을 커스터마이징할 수 있으나, 권한을 과도하게 제한할 경우 AI의 응답 생성이 중단될 수 있으므로 주의가 필요합니다. * **보안 유지:** 게이트웨이 인증 토큰은 비밀번호와 같으므로 외부에 노출되지 않도록 주의해야 하며, 주기적인 토큰 교체와 환경 변수 파일을 통한 관리가 권장됩니다. 나만의 안전한 AI 비서를 구축하고 싶다면 Amazon Lightsail의 OpenClaw를 활용해 보시기 바랍니다. 초기 설정 시 4GB 메모리 플랜을 선택하고, 제공되는 스크립트를 통해 Bedrock 권한 설정을 완료하는 것만으로도 강력한 자율형 에이전트 환경을 경험할 수 있습니다.