메뉴
Amazon Simple Storage Service
개발자 안내서 (API Version 2006-03-01)

정책에서 보안 주체 지정

Principal 요소는 사용자, 계정, 서비스 또는 리소스에 대한 액세스가 허용 또는 거부된 기타 주체를 지정합니다. Principal 요소는 버킷 정책에만 관련되어 있으며, 사용자 정책은 특정 사용자에게 직접 연결되므로 사용자 정책에서는 이를 지정하지 않습니다. 다음은 Principal 지정의 예입니다. 자세한 내용은 IAM 사용 설명서보안 주체 단원을 참조하십시오.

  • AWS 계정에 권한을 부여하려면 다음 형식을 사용하여 계정을 식별합니다.

    Copy
    "AWS":"account-ARN"

    예:

    Copy
    "Principal":{"AWS":"arn:aws:iam::AccountNumber-WithoutHyphens:root"}

    또한 Amazon S3에서는 난독화된 형식의 AWS 계정 ID인 정식 사용자 ID를 지원합니다. 다음 형식을 사용하여 이 ID를 지정할 수 있습니다.

    Copy
    "CanonicalUser":"64-digit-alphanumeric-value"

    예:

    Copy
    "Principal":{"CanonicalUser":"64-digit-alphanumeric-value"}

    AWS 계정과 연결된 정식 사용자 ID를 찾으려면

    1. https://aws.amazon.com/내 계정/콘솔 드롭다운 메뉴에서 [보안 자격 증명]를 선택합니다.

    2. 적합한 계정 자격 증명으로 로그인.

    3. [Account Identifiers]를 클릭합니다.

  • 계정 내의 IAM 사용자에 대한 권한을 부여하려면 "AWS":"user-ARN" 이름-값 페어를 제공해야 합니다.

    Copy
    "Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}
  • 모두에게 권한을 부여하고 익명 액세스로도 참조되려면 와일드카드 "*"를 Principal 값으로 설정합니다. 예를 들어 버킷을 웹 사이트로 구성하는 경우 버킷의 모든 객체를 공개적으로 액세스 가능하게 하려 할 수 있습니다. 다음은 동일합니다.

    Copy
    "Principal":"*"
    Copy
    "Principal":{"AWS":"*"}
  • 사용자가 CloudFront 원본 액세스 ID를 생성한 후 버킷이나 버킷의 객체에서 권한을 변경하여 CloudFront URL(Amazon S3 URL 대신)을 통해 Amazon S3 콘텐츠에 액세스하도록 요구할 수 있습니다. Principal 문에서 원본 액세스 ID를 지정하기 위한 형식은 다음과 같습니다.

    Copy
    "Principal":{"CanonicalUser":"Amazon S3 Canonical User ID assigned to origin access identity"}

    자세한 내용은 Amazon CloudFront 개발자 안내서원본 액세스 ID를 사용하여 Amazon S3 콘텐츠에 대한 액세스 제한 단원을 참조하십시오.

기타 액세스 정책 언어 요소에 대한 자세한 내용은 액세스 정책 언어 개요 단원을 참조하십시오.