의 VPC 엔드포인트에 대한 예제 버킷 정책Amazon S3 - Amazon Simple Storage Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

의 VPC 엔드포인트에 대한 예제 버킷 정책Amazon S3

사용할 수 있습니다. Amazon S3 버킷 정책을 사용하여 특정 버킷에 대한 액세스를 제어할 수 있습니다. Amazon Virtual Private Cloud (Amazon VPC) 끝점 또는 특정 vpcs. 이 단원에는 VPC 종단점에서 Amazon S3 버킷 액세스를 제어하는 데 사용할 수 있는 버킷 정책 예제가 포함되어 있습니다. VPC 끝점을 설정하는 방법에 대해 알아보려면 다음을 참조하십시오. VPC 엔드포인트 in the Amazon VPC 사용 설명서.

Amazon VPC에서는 AWS 리소스를 사용자가 정의한 가상 네트워크로 시작할 수 있습니다. VPC 종단점에서 사용자는 인터넷, VPN 연결, NAT 인스턴스 또는 AWS Direct Connect를 통한 액세스를 요구하지 않고 사용자의 VPC와 다른 AWS 서비스 간 프라이빗 연결을 생성할 수 있습니다.

의 VPC 엔드포인트는 Amazon S3에만 연결을 허용하는 VPC 내 논리적 대상입니다.Amazon S3. VPC 엔드포인트는 Amazon S3에 대한 요청을 라우팅하고 VPC에 대한 응답을 라우팅합니다. VPC 엔드포인트에서만 요청을 라우팅하는 방법을 변경합니다. Amazon S3 공인 엔드포인트와 DNS 이름은 계속해서 VPC 엔드포인트로 작업합니다. 사용에 대한 중요한 정보 Amazon VPC 평가변수 Amazon S3, 참조: 게이트웨이 VPC 엔드포인트 and 다음에 대한 평가변수 Amazon S3 in the Amazon VPC 사용 설명서.

VPC 엔드포인트 Amazon S3 사용자 액세스 권한을 제어할 수 있는 Amazon S3 데이터:

  • 사용자는 특정 VPC 종단점을 통해 허용되는 요청, 사용자 또는 그룹을 제어할 수 있습니다. 이러한 액세스 제어에 대한 자세한 내용은 다음을 참조하십시오. VPC 엔드포인트를 사용하여 서비스에 대한 액세스 제어 in the Amazon VPC 사용 설명서.

  • 다음을 사용하여 버킷에 액세스할 수 있는 VPC 또는 VPC 엔드포인트를 제어할 수 있습니다. Amazon S3 버킷 정책. 이러한 유형의 버킷 정책 제어에 대한 예는 액세스 제한에 대한 다음 주제를 참조하십시오.

중요

이 단원에서 설명하는 VPC 종단점에 Amazon S3 버킷 정책을 적용할 경우 의도치 않게 버킷에 대한 액세스를 차단할 수 있습니다. VPC 종단점에서 시작하는 연결에 대한 버킷 액세스를 특별히 제한하기 위한 버킷 권한은 버킷에 대한 모든 연결을 차단할 수 있습니다. 이 문제를 해결하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 내 버킷 정책에 잘못된 VPC 또는 VPC 끝점 ID가 있습니다. 버킷에 액세스할 수 있도록 정책을 수정할 수 있는 방법은 무엇입니까? in the AWS 지원 지식 센터.

특정 VPC 종단점에 대한 액세스 제한

다음은 Amazon S3 특정 버킷에 대한 액세스를 제한하는 버킷 정책 awsexamplebucket1ID가 있는 VPC 끝점에서만 vpce-1a2b3c4d. 지정된 끝점이 사용되지 않는 경우 정책이 버킷에 대한 모든 액세스를 거부합니다. The aws:SourceVpce 조건을 사용하여 끝점을 지정합니다. The aws:SourceVpce 조건에는 VPC 끝점 리소스에 대한 아마존 자원 이름(ARN)이 필요하지 않으며, VPC 끝점 ID만 필요합니다. 정책에서 조건을 사용하는 것에 대한 자세한 내용은 을 참조하십시오.Amazon S3 조건 키.

중요
  • 다음 예제 정책을 사용하기 전에 VPC 종단점 ID를 사용 사례에 적합한 값으로 바꾸십시오. 그렇지 않으면 버킷에 액세스할 수 없습니다.

  • 콘솔 요청은 지정된 VPC 종단점에서 발생하지 않으므로 이 정책은 지정된 버킷에 대한 콘솔 액세스를 비활성화합니다.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }

특정 VPC에 대한 액세스 제한

다음을 사용하여 특정 VPC 액세스를 제한하는 버킷 정책을 만들 수 있습니다. aws:SourceVpc 조건. 이는 동일한 VPC에 여러 VPC 종단점이 구성되어 있으며, 모든 엔드포인트에 대해 Amazon S3 버킷에 대한 액세스를 관리하려고 할 때 유용합니다. 다음은 VPC를 허용하는 정책의 예입니다. vpc-111bbb22 접근하려면 awsexamplebucket1 개체의 개체가 됩니다. 이 정책은 지정된 VPC가 사용되지 않으면 버킷에 대한 모든 액세스를 거부합니다. The vpc-111bbb22 조건 키는 VPC 자원에 대해 ARN이 필요하지 않으며 VPC ID만 필요하지 않습니다.

중요
  • 다음 예제 정책을 사용하기 전에 VPC ID를 사용 사례에 적합한 값으로 바꾸십시오. 그렇지 않으면 버킷에 액세스할 수 없습니다.

  • 콘솔 요청은 지정된 VPC에서 발생하지 않으므로 이 정책은 지정된 버킷에 대한 콘솔 액세스를 비활성화합니다.

{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }