메뉴
Amazon Simple Storage Service
개발자 안내서 (API Version 2006-03-01)

액세스 정책 언어 개요

이 단원의 주제에서는 Amazon S3에서 사용된 것과 같은 버킷 및 사용자 정책에 사용된 기본 요소를 설명합니다. 전체 정책 언어 정보를 확인하려면 IAM 사용 설명서Overview of IAM PoliciesAWS IAM Policy Reference 주제를 참조하십시오.

참고

버킷 정책은 크기가 20KB로 제한됩니다.

액세스 정책의 공통 요소

가장 기본적인 경우 정책에는 다음 요소가 포함되어 있습니다.

  • Resources - 버킷 및 객체는 사용 권한을 허용하거나 거부할 수 있는 Amazon S3 리소스입니다. 정책에서는 Amazon 리소스 이름(ARN)을 사용하여 리소스를 식별해야 합니다.

  • Actions - 각 리소스에 대해 Amazon S3에서는 작업의 집합을 지원합니다. 작업 키워드를 사용하여 허용(또는 거부)할 리소스 작업을 식별합니다(정책에서 권한 지정 참조).

    예를 들어 s3:ListBucket 권한은 Amazon S3 GET Bucket (List Objects) 작업에 대한 사용자 권한을 허용합니다.

  • Effect - 사용자가 특정 작업을 요청하는 경우의 결과입니다. 이는 허용 또는 거부 중에 하나가 될 수 있습니다.

    명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 암시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다.

  • Principal - 문에서의 작업 및 리소스에 액세스할 수 있는 계정 또는 사용자입니다. 버킷 정책에는 보안 주체만 지정합니다. 이는 사용자, 계정, 서비스 또는 이 권한의 수신자인 기타 주체입니다. 사용자 정책에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다.

다음 버킷 정책 예제는 전술한 공통 정책 요소를 나타냅니다. 이 정책에서는 Account-ID 계정의 사용자인 Dave에게 examplebucket 버킷의 s3:GetBucketLocation, s3:ListBuckets3:GetObject Amazon S3 권한을 허용합니다.

Copy
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ExampleStatement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Account-ID:user/Dave" }, "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::examplebucket" ] } ] }

이는 버킷 정책이므로 권한을 가질 대상을 지정하는 Principal 요소를 포함합니다.

액세스 정책 요소에 대한 자세한 내용은 다음 주제를 참조하십시오.

다음 주제에서는 추가 정책 예제를 제공합니다.

이 페이지에서: