메뉴
Amazon Simple Storage Service
개발자 안내서 (API Version 2006-03-01)

정책에서 보안 주체 지정

Principal 요소는 사용자, 계정, 서비스 또는 리소스에 대한 액세스가 허용 또는 거부된 기타 주체를 지정합니다. Principal 요소는 버킷 정책에만 관련되어 있으며, 사용자 정책은 특정 사용자에게 직접 연결되므로 사용자 정책에서는 이를 지정하지 않습니다. 다음은 Principal 지정의 예입니다. 자세한 내용은 IAM 사용 설명서보안 주체 단원을 참조하십시오.

  • AWS 계정에 권한을 부여하려면 다음 형식을 사용하여 계정을 식별합니다.

    Copy
    "AWS":"account-ARN"

    예:

    Copy
    "Principal":{"AWS":"arn:aws:iam::AccountNumber-WithoutHyphens:root"}

    또한 Amazon S3에서는 난독화된 형식의 AWS 계정 ID인 정식 사용자 ID를 지원합니다. 다음 형식을 사용하여 이 ID를 지정할 수 있습니다.

    Copy
    "CanonicalUser":"64-digit-alphanumeric-value"

    예:

    Copy
    "Principal":{"CanonicalUser":"64-digit-alphanumeric-value"}

    계정의 정식 사용자 ID를 찾는 방법에 대한 정보는 계정 정식 사용자 ID 찾기를 참조하십시오.

  • 계정 내의 IAM 사용자에 대한 권한을 부여하려면 "AWS":"user-ARN" 이름-값 페어를 제공해야 합니다.

    Copy
    "Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}
  • 모두에게 권한을 부여하고 익명 액세스로도 참조되려면 와일드카드 "*"를 Principal 값으로 설정합니다. 예를 들어 버킷을 웹 사이트로 구성하는 경우 버킷의 모든 객체를 공개적으로 액세스 가능하게 하려 할 수 있습니다. 다음은 동일합니다.

    Copy
    "Principal":"*"
    Copy
    "Principal":{"AWS":"*"}

    주의

    S3 버킷에 익명 액세스 권한을 부여할 때는 주의해야 합니다. 익명 액세스 권한을 부여하면 전 세계 누구나 버킷에 액세스할 수 있습니다. S3 버킷에 대한 익명 쓰기 액세스 권한을 부여하지 않는 것이 좋습니다.

  • 사용자가 Amazon S3 URL 대신 CloudFront URL을 사용하여 Amazon S3 콘텐츠에 액세스하도록 요구할 수 있습니다. 이렇게 하려면 CloudFront 원본 액세스 ID(OAI)를 만든 다음, 버킷 또는 버킷의 객체에 대한 권한을 변경합니다. Principal 문에서 OAI를 지정하기 위한 형식은 다음과 같습니다.

    Copy
    "Principal":{"CanonicalUser":"Amazon S3 Canonical User ID assigned to origin access identity"}

    자세한 내용은 Amazon CloudFront 개발자 안내서원본 액세스 ID를 사용하여 Amazon S3 콘텐츠에 대한 액세스 제한 단원을 참조하십시오.

기타 액세스 정책 언어 요소에 대한 자세한 내용은 액세스 정책 언어 개요 단원을 참조하십시오.