메뉴
Amazon Simple Storage Service
개발자 안내서 (API Version 2006-03-01)

Amazon S3의 VPC 엔드포인트에 대한 예제 버킷 정책

Amazon S3 버킷 정책을 사용하여 특정 Amazon Virtual Private Cloud (Amazon VPC) 앤드포인트나 특정 VPC에서 버킷에 대한 액세스를 제어할 수 있습니다. 이 단원에는 VPC 엔드포인트에서 S3 버킷 액세스를 제어하는 데 사용할 수 있는 예제 버킷 정책이 포함되어 있습니다. VPC 엔드포인트 설정 방법에 대래서는 Amazon VPC 사용 설명서VPC 엔드포인트 주제를 참조하십시오.

Amazon VPC에서는 사용자가 정의한 가상 네트워크로 Amazon Web Services (AWS) 리소스를 시작할 수 있습니다. VPC 엔드포인트에서 사용자는 인터넷, VPN 연결, NAT 인스턴스 또는 AWS Direct Connect를 통해 액세스를 요구하지 않고 사용자의 VPC와 다른 AWS 서비스 간 프라이빗 연결을 생성할 수 있습니다.

Amazon S3의 VPC 엔드포인트는 Amazon S3에만 연결을 허용하는 VPC 내 논리적 대상입니다. VPC 엔드포인트는 Amazon S3에 대한 요청을 라우팅하고 VPC에 대한 응답을 라우팅합니다. VPC 엔드포인트에서만 요청을 라우팅하는 방법을 변경합니다. Amazon S3 공인 엔드포인트와 DNS 이름은 계속해서 VPC 엔드포인트로 작업합니다. Amazon S3가 포함된 Amazon VPC 엔드포인트 사용에 대한 중요 정보는 Amazon VPC 사용 설명서에서 Endpoints for Amazon S3 주제를 참조하십시오.

Amazon S3에 대한 VPC 엔드포인트는 Amazon S3 데이터:

에 대한 액세스를 제어하는 두 가지 방법을 제공합니다.
  • 사용자는 특정 VPC 엔드포인트를 통해 허용되는 요청, 사용자 또는 그룹을 제어할 수 있습니다. 이런 유형의 액세스 제어에 대한 정보는 Amazon VPC 사용 설명서VPC 엔드포인트 - 서비스에 대한 액세스 제어 주제를 참조하십시오.

  • S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 갖게되는 VPC 또는 VPC 엔드포인트를 제어할 수 있습니다. 이러한 유형의 버킷 정책 제어에 대한 예는 액세스 제한에 대한 다음 주제를 참조하십시오.

특정 VPC 엔드포인트에 대한 액세스 제한

다음은 ID가 vpce-1a2b3c4d인 VPC 엔드포인트에서만 특정 버킷, examplebucket에 대한 액세스를 허용하는 S3 버킷 정책에 대한 예입니다. 이 정책은 aws:sourceVpce 조건 키를 사용하여 지정된 VPC 엔드포인트에 대한 액세스를 제한합니다. aws:sourceVpce 조건 키는 VPC 엔드포인트 리소스의 ARN을 요구하지 않고 VPC 엔드포인트 ID만 요구합니다. 정책에서 조건을 사용하는 것에 대한 자세한 내용은 정책에서 조건 지정을 참조하십시오.

Copy
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::examplebucket", "arn:aws:s3:::examplebucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } }, "Principal": "*" } ] }

특정 VPC에 대한 액세스 제한

aws:sourceVpc 조건 키를 사용하여 특정 VPC에 대한 액세스를 제한하는 버킷 정책을 생성할 수 있습니다. 이는 동일한 VPC에 여러 VPC 엔드포인트가 구성되어 있으며, 모든 엔드포인트에서 S3 버킷에 대한 액세스를 관리하고자 하는 경우 유용합니다. 다음은 VPC vpc-111bbb22에서 examplebucket에 액세스할 수 있도록 허용하는 정책의 예입니다. vpc-111bbb22 조건 키는 VPC 리소스의 ARN을 요구하지 않고 VPC ID만 요구합니다.

Copy
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::examplebucket", "arn:aws:s3:::examplebucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } }, "Principal": "*" } ] }