복제를 위한 권한 설정 - Amazon Simple Storage Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

복제를 위한 권한 설정

복제를 설정할 때 다음과 같이 필요한 권한을 획득해야 합니다.

  • 생성 IAM 역할—Amazon S3 을(를) 대신하여 개체를 복제할 권한이 필요합니다. 귀하는 IAM 역할 및 복제 구성에서 역할을 지정합니다.

  • 원본 버킷과 대상 버킷을 동일한 계정에서 소유하지 않는 경우 대상 버킷 소유자는 원본 버킷 소유자에게 복제본을 저장할 권한을 부여해야 합니다.

IAM 역할 생성

기본적으로 모두 Amazon S3 자원—버킷, 객체 및 관련 하위 리소스—비공개: 리소스 소유자만 리소스에 액세스할 수 있습니다. 원본 버킷에서 객체를 읽고 대상 버킷에 복제하려면 Amazon S3는 이러한 작업을 수행할 권한이 필요합니다. 귀하는 IAM 역할을 수행하고 복제 구성에서 역할을 지정합니다.

이 단원에서는 신뢰 정책과 필요한 최소한의 권한 정책을 설명합니다. 연습 예제가 IAM 역할을 생성하는 단계별 지침을 제공합니다. 자세한 정보는 단원을 참조하십시오.복제 실습 과정.

  • 다음은 신뢰 정책, 여기서 Amazon S3 역할을 맡을 수 있는 서비스 교장으로서.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"s3.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

    자세한 정보는 IAM 역할, 참조 IAM 역할 in the IAM 사용 설명서.

  • 다음은 액세스 정책을(를) 대신하여 복제 작업을 수행할 역할 권한을 부여합니다. 언제 Amazon S3 이(가) 이 정책에 지정하는 권한이 있다고 가정합니다.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetReplicationConfiguration", "s3:ListBucket" ], "Resource":[ "arn:aws:s3:::SourceBucket" ] }, { "Effect":"Allow", "Action":[ "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTagging" ], "Resource":[ "arn:aws:s3:::SourceBucket/*" ] }, { "Effect":"Allow", "Action":[ "s3:ReplicateObject", "s3:ReplicateDelete", "s3:ReplicateTags" ], "Resource":"arn:aws:s3:::DestinationBucket/*" } ] }

    액세스 정책은 다음 작업을 수행할 권한을 부여합니다.

    • s3:GetReplicationConfiguration and s3:ListBucket—이 작업에 대한 권한은 소스 버킷 허용 Amazon S3 복제 구성 및 목록 버킷 콘텐츠를 검색하려면 s3:ListBucket 삭제 마커 액세스 권한).

    • s3:GetObjectVersion and s3:GetObjectVersionAcl— 모든 객체에 부여된 이러한 조치에 대한 권한은 Amazon S3 개체 에 연결된 특정 개체 버전 및 ACL(액세스 제어 목록)를 가져옵니다.

    • s3:ReplicateObject and s3:ReplicateDelete—이 작업에 대한 사용 권한은 목적지 버킷 허용 Amazon S3 대상 버킷에 개체를 복제하거나 마커를 삭제하려면 삭제 마커에 대한 자세한 내용은 을 참조하십시오.삭제 작업이 복제에 미치는 영향.

      참고

      에 대한 권한 s3:ReplicateObject 작업 목적지 버킷에서는 객체 태그를 복제할 수 있으므로, s3:ReplicateTags 작업.

    • s3:GetObjectVersionTagging—이 작업에 대한 사용 권한은 소스 버킷 허용 Amazon S3 복제를 위해 개체 태그를 읽으려면 객체 태그 지정) ). IF Amazon S3 이 권한은 없으므로 개체 태그는 아니라 개체를 복제합니다.

    작업 목록에 대해서는 Amazon S3 단원을 참조하십시오.Amazon S3 작업.

    중요

    The AWS 계정을 소유한 IAM 역할에 대한 권한이 있어야 합니다. IAM 역할.

    예를 들어, 원본 버킷에 다른 AWS 계정이 소유한 객체가 포함되어 있다고 가정하겠습니다. 개체의 소유자는 명시적으로 AWS 계정을 소유한 IAM 개체 ACL을 통해 필요한 권한을 역할 그렇지 않으면 Amazon S3가 객체에 액세스할 수 없으므로 객체의 복제가 실패합니다. ACL 권한에 대한 자세한 내용은 단원을 참조하십시오.ACL(액세스 통제 목록) 개요.

    여기에서 설명하는 권한은 최소 복제 구성과 관련됩니다. 선택적 복제 구성을 추가하려면 에 추가 권한을 부여해야 합니다.Amazon S3. 자세한 정보는 단원을 참조하십시오.추가 복제 구성.

소스 및 대상 버킷이 다른 이름으로 소유될 때 권한 부여 AWS 계정

원본 버킷과 대상 버킷을 동일한 계정에서 소유하지 않는 경우, 다음과 같이 대상 버킷 소유자가 원본 버킷 소유자에게 복제 작업 권한을 부여하는 버킷 정책도 추가해야 합니다.

{ "Version":"2012-10-17", "Id":"PolicyForDestinationBucket", "Statement":[ { "Sid":"Permissions on objects", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-AcctID:root" }, "Action":[ "s3:ReplicateDelete", "s3:ReplicateObject" ], "Resource":"arn:aws:s3:::destinationbucket/*" }, { "Sid":"Permissions on bucket", "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-AcctID:root" }, "Action": [ "s3:List*", "s3:GetBucketVersioning", "s3:PutBucketVersioning" ], "Resource":"arn:aws:s3:::destinationbucket" } ] }

관련 예제는 단원을 참조하십시오.예제 2: 원본 버킷과 대상 버킷을 서로 다른 AWS 계정에서 소유한 경우 복제 구성.

원본 버킷에 있는 객체에 태그가 지정된 경우, 다음에 주의하십시오.

  • 소스 버킷 소유자 보조금을 Amazon S3 허가 s3:GetObjectVersionTagging and s3:ReplicateTags 객체 태그를 복제하는 작업(을(를) 통해 IAM 역할) Amazon S3 은 객체와 함께 태그를 복제합니다. 역할에 대한 자세한 내용은 IAM 단원을 참조하십시오.IAM 역할 생성.

  • 대상 버킷 소유자가 태그 복제를 원하지 않는 경우, 소유자는 다음의 명령문을 대상 버킷 정책에 추가해 s3:ReplicateTags 작업에 대한 권한을 명시적으로 거부할 수 있습니다.

    ... "Statement":[ { "Effect":"Deny", "Principal":{ "AWS":"arn:aws:iam::SourceBucket-AcctID:root" }, "Action":"s3:ReplicateTags", "Resource":"arn:aws:s3:::DestinationBucket/*" } ] ...

복제본 소유권 변경

다른 경우 AWS 계정은 소스와 대상 버킷을 소유하고, Amazon S3 복제본의 소유권을 AWS 도착지 버킷을 소유하는 계정입니다. 이것을 소유자 재설정 옵션. 자세한 정보는 단원을 참조하십시오.복제본 소유자 변경.