[AWS Official Document](https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/UsingDSSEncryption.html) - AWS S3에서 제공하는 **이중 계층 서버 측 암호화(Dual-layer Server-Side Encryption) 방식** - 즉, 데이터를 저장할 때 **두 번의 암호화 레이어를 적용하고, 각 레이어에 AWS KMS 키를 사용하는 방식** ### 특징 - **이중 암호화 (Dual-layer Encryption)** - 데이터에 대해 서로 다른 두 개의 암호화 레이어 적용 - 각 레이어는 독립적으로 보호됨 - **KMS 기반 키 관리** - 두 레이어 모두 AWS KMS 키를 사용 - 키 정책, IAM을 통해 세밀한 접근 제어 가능 - **높은 보안 수준** - 단일 키가 아닌 다중 계층 보호 - 규제가 강한 환경(금융, 공공 등)에 적합 - **암호화 + 감사(Audit)** - KMS 사용 기록이 CloudTrail에 남음 - 암호화 관련 활동 추적 가능 - **Envelope Encryption 확장 구조** - 데이터 키 + 추가 암호화 레이어로 구성 - 일반 SSE-KMS보다 더 강화된 구조 - **추가 비용 및 오버헤드** - KMS 호출이 더 많아짐 → 비용 증가 - 암호화/복호화 과정에서 성능 오버헤드 존재 ### 사용 예시 - 매우 높은 수준의 **데이터 보호 요구사항이 있는 서비스** - 법적/규제 기준에서 **이중 암호화를 요구하는 경우** - 민감 데이터(개인정보, 금융 데이터 등) 저장 ### 한계 - SSE-KMS보다 **구성 및 이해 난이도 높음** - KMS 호출 증가로 인한 **비용 및 지연 증가** - 일반적인 서비스에서는 과도한 수준일 수 있음