다중 리전 액세스 포인트 생성 - Amazon Simple Storage Service

다중 리전 액세스 포인트 생성

Amazon S3에서 다중 리전 액세스 포인트를 생성하려면 이름을 지정하고 다중 리전 액세스 포인트에 대한 요청을 처리할 각 AWS 리전에서 버킷을 하나 선택하고, 다중 리전에 대한 Amazon S3 퍼블릭 액세스 차단 설정을 구성합니다. Amazon S3가 비동기적으로 처리하는 생성 요청에 이 정보를 제공합니다. Amazon S3는 비동기 생성 요청의 상태를 모니터링하는 데 사용할 수 있는 토큰을 제공합니다.

정책을 저장하기 전에 AWS Identity and Access Management Access Analyzer의 보안 경고, 오류, 일반 경고 및 제안 사항을 해결해야 합니다. IAM Access Analyzer는 정책 확인은 실행하여 IAM 정책 문법모범 사례에 대해 정책을 검증합니다. 이러한 확인은 결과를 생성하고 보안 모범 사례를 준수하고 작동하는 정책을 작성하는 데 도움이 되는 실행 가능한 권장 사항을 제공합니다. IAM 액세스 분석기를 사용한 정책 검증에 대한 자세한 내용은 IAM 사용 설명서IAM 액세스 분석기 정책 검증을 참조하세요. IAM Access Analyzer에서 반환된 경고, 오류 및 제안 사항 목록을 보려면 IAM Access Analyzer 정책 확인 참조를 참조하세요.

API를 사용하는 경우 다중 리전 액세스 포인트 생성 요청은 비동기적입니다. 다중 리전 액세스 포인트 생성 요청을 제출하면 Amazon S3가 요청을 동기적으로 승인합니다. 그런 다음 생성 요청의 진행 상황을 추적하는 데 사용할 수 있는 토큰을 즉시 반환합니다. 다중 리전 액세스 포인트를 생성 및 관리를 위한 비동기 요청을 추적에 대한 자세한 내용은 다중 리전 액세스 포인트 관리 섹션을 참조하세요.

다중 리전 액세스 포인트를 생성한 후 이에 대한 액세스 제어 정책을 생성할 수 있습니다. 각 다중 리전 액세스 포인트에는 연결된 정책이 있을 수 있습니다. 다중 리전 액세스 포인트 정책은 리소스, 사용자 또는 기타 조건별로 다중 리전 액세스 포인트 사용을 제한할 수 있는 리소스 기반 정책입니다.

참고

애플리케이션 또는 사용자가 다중 리전 액세스 포인트를 통해 객체에 액세스할 수 있으려면 다중 리전 액세스 포인트의 액세스 정책 및 객체가 포함된 기본 버킷에 대한 액세스 정책이 모두 요청을 허용해야 합니다. 두 정책이 서로 다른 경우 더 제한적인 정책이 우선합니다.

버킷에 다중 리전 액세스 포인트를 사용해도 버킷이 기존 버킷 이름이나 Amazon 리소스 이름(ARN)을 통해 액세스할 때 버킷의 동작은 변경되지 않습니다. 버킷에 대한 모든 기존 작업은 이전과 같이 계속 작동합니다. 다중 리전 액세스 포인트 정책에 포함시키는 제한은 해당 다중 리전 액세스 포인트를 통해 이루어진 요청에만 적용됩니다.

다중 리전 액세스 포인트를 생성한 후에는 정책을 업데이트할 수 있지만 정책을 삭제할 수는 없습니다. 정책 삭제에 가장 가까운 방법은 다중 리전 액세스 포인트 정책을 업데이트하여 모든 권한을 거부하는 것입니다.

Amazon S3 다중 리전 액세스 포인트 이름 지정 규칙

다중 리전 액세스 포인트를 생성할 때, 선택한 문자열인 이름을 지정합니다. 다중 리전 액세스 포인트를 생성한 후에는 이름을 변경할 수 없습니다. 이름은 AWS 계정에서 고유해야 하며, 다중 리전 액세스 포인트 규제 및 제한에 나열된 이름 지정 요구 사항을 준수해야 합니다. 다중 리전 액세스 포인트를 쉽게 식별할 수 있도록 사용자 또는 조직에 의미 있는 이름 또는 시나리오를 반영하는 이름을 사용합니다.

GetMultiRegionAccessPointPutMultiRegionAccessPointPolicy와 같은 다중 리전 액세스 포인트 관리 작업을 호출할 때 이 이름을 사용합니다. 이 이름은 다중 리전 액세스 포인트로 요청을 보내는 데 사용되지 않으며 다중 리전 액세스 포인트를 사용하여 요청하는 클라이언트에게는 노출될 필요가 없습니다.

Amazon S3가 다중 리전 액세스 포인트를 생성하면 자동으로 별칭을 할당합니다. 이 별칭은 .mrap로 끝나는 고유한 영숫자 문자열입니다. 별칭은 다중 리전 액세스 포인트의 Amazon 리소스 이름(ARN)과 호스트 이름을 구성하는 데 사용됩니다. 또한 정규화된 이름은 다중 리전 액세스 포인트의 별칭을 기반으로 합니다.

별칭에서 다중 리전 액세스 포인트의 이름을 확인할 수 없으므로 다중 리전 액세스 포인트의 이름, 용도 또는 소유자가 노출될 위험 없이 별칭을 공개할 수 있습니다. Amazon S3는 각각의 새로운 다중 리전 액세스 포인트에 대한 별칭을 선택하며 별칭은 변경할 수 없습니다. 다중 리전 액세스 포인트 주소 지정에 대한 자세한 내용은 다중 리전 액세스 포인트를 사용한 요청 섹션을 참조하세요.

다중 리전 액세스 포인트 별칭은 항상 고유하며 다중 리전 액세스 포인트의 이름이나 구성을 기반으로 하지 않습니다. 다중 리전 액세스 포인트를 생성한 후 삭제하고 동일한 이름과 구성의 다른 액세스 포인트를 생성하면 두 번째 다중 리전 액세스 포인트의 별칭은 첫 번째 액세스 포인트와 달라집니다. 새로운 다중 리전 액세스 포인트는 이전의 다중 리전 액세스 포인트와 동일한 별칭을 가질 수 없습니다.

Amazon S3 다중 리전 액세스 포인트용 버킷 선택 규칙

각 다중 리전 액세스 포인트는 요청을 이행할 리전과 연결됩니다. 다중 리전 액세스 포인트는 각 리전에서 정확히 하나의 버킷과 연결되어야 합니다. 요청에서 각 버킷의 이름을 지정하여 다중 리전 액세스 포인트를 생성합니다. 다중 리전 액세스 포인트를 지원하는 각 버킷은 다중 리전 액세스 포인트를 소유한 동일한 AWS 계정에서 소유해야 합니다.

다중 리전 액세스 포인트에서 단일 버킷을 사용할 수 있습니다.

중요
  • 다중 리전 액세스 포인트와 연결된 버킷은 생성할 때만 지정할 수 있습니다. 버킷을 생성한 후에는 다중 리전 액세스 포인트 구성에서 추가, 수정 또는 제거할 수 없습니다. 버킷을 변경하려면 전체 다중 리전 액세스 포인트를 삭제하고 새 액세스 포인트를 생성해야 합니다.

  • 다중 리전 액세스 포인트의 일부인 버킷은 삭제할 수 없습니다. 다중 리전 액세스 포인트에 연결된 버킷을 삭제하려면 먼저 다중 리전 액세스 포인트를 삭제해야 합니다.

  • 다중 리전 액세스 포인트를 소유하는 AWS 계정은 연결된 버킷도 소유해야 합니다. 다중 리전 액세스 포인트에서 권한을 사용하는 방법에 대한 자세한 내용은 다중 리전 액세스 포인트 권한 섹션을 참조하세요.

  • 일부 리전에서는 다중 리전 액세스 포인트를 지원하지 않습니다. 지원되는 리전 목록을 보려면 다중 리전 액세스 포인트 규제 및 제한 섹션을 참조하세요.

복제 규칙을 생성하여 버킷 간에 데이터를 동기화할 수 있습니다. 이러한 규칙을 사용하면 소스 버킷에서 대상 버킷으로 데이터를 자동으로 복사할 수 있습니다. 버킷을 다중 리전 액세스 포인트에 연결해도 복제 작동 방식에는 영향을 미치지 않습니다. 이후 섹션에서 다중 리전 액세스 포인트를 사용한 복제 구성에 대해 설명합니다.

다중 리전 액세스 포인트에 요청을 할 때 다중 리전 액세스 포인트는 어떤 버킷이 요청을 이행할 수 있는지 고려하지 않습니다. 이것이 복제를 권장하는 이유입니다. 그렇지 않으면 다중 리전 액세스 포인트의 버킷 중 하나에 필요한 데이터가 있을 수 있지만 요청을 수신할 수 있는 방법이 없습니다. 자세한 정보는 다중 리전 액세스 포인트와 함께 사용할 버킷 복제 구성을 참조하세요.

Amazon S3 다중 리전 액세스 포인트를 사용하여 퍼블릭 액세스 차단

각 다중 리전 액세스 포인트에는 Amazon S3 퍼블릭 액세스를 차단하는 고유한 설정이 있습니다. 이러한 설정은 다중 리전 액세스 포인트의 기본 버킷 및 다중 리전 액세스 포인트와 기본 버킷을 모두 소유한 AWS 계정에 대한 퍼블릭 액세스 차단 설정과 함께 작동합니다.

Amazon S3가 요청을 승인하면 이러한 설정의 가장 제한적인 조합을 적용합니다. 이러한 리소스(다중 리전 액세스 포인트, 기본 버킷 또는 소유자 계정)에 대한 퍼블릭 액세스 차단 설정이 요청된 작업 또는 리소스에 대한 액세스를 차단하는 경우 Amazon S3는 요청을 거부합니다.

특정 설정을 비활성화해야 하는 경우가 아니면 모든 퍼블릭 액세스 차단 설정을 활성화하는 것이 좋습니다. 다중 리전 액세스 포인트에는 기본적으로 모든 퍼블릭 액세스 차단 설정이 활성화되어 있습니다. 퍼블릭 액세스 차단을 활성화하는 경우 다중 리전 액세스 포인트는 인터넷 기반 요청을 수락할 수 없습니다.

중요

Amazon S3에서는 현재 다중 리전 액세스 포인트가 생성된 후 퍼블릭 액세스 차단 설정을 변경하도록 지원하지 않습니다.

Amazon S3 퍼블릭 액세스 차단에 대한 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단 섹션을 참조하세요.

Amazon S3 다중 리전 액세스 포인트 생성

다음 예제에서는 AWS Management Console을 사용하여 다중 리전 액세스 포인트를 생성하는 방법을 보여줍니다.

다중 리전 액세스 포인트를 생성하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 탐색 창에서 다중 리전 액세스 포인트(Multi-Region Access Point)를 선택합니다.

  3. 다중 리전 액세스 포인트 이름(Multi-Region Access Point name) 필드에 다중 리전 액세스 포인트의 이름을 입력합니다.

  4. 이 다중 리전 액세스 포인트와 연결할 버킷을 선택하려면 버킷 추가(Add buckets)를 선택합니다.

    새 버킷을 만들려면 버킷 새로 만들기(Create bucket)를 선택합니다. 버킷을 만든 후 버킷 추가(Add buckets)를 선택하여 다중 리전 액세스 포인트에 버킷을 추가합니다.

    버킷 생성에 대한 자세한 내용은 버킷 생성 섹션을 참조하세요.

  5. 이 다중 리전 액세스 포인트에 대한 퍼블릭 액세스 차단 설정(Block Public Access settings for this Multi-Region Access Point)에서 다중 리전 액세스 포인트에 적용할 퍼블릭 액세스 차단 설정을 선택합니다. 새 다중 리전 액세스 포인트에는 기본값으로 모든 퍼블릭 액세스 차단 설정이 활성화되어 있습니다. 특정 설정을 비활성화해야 하는 경우가 아니면 모든 설정을 그대로 유지하는 것이 좋습니다.

    참고

    Amazon S3에서는 현재 다중 리전 액세스 포인트가 생성된 후 액세스 포인트의 퍼블릭 액세스 차단 설정을 변경하도록 지원하지 않습니다.

  6. 다중 리전 액세스 포인트 생성(Create Multi-Region Access Point)을 선택합니다.

AWS CLI를 사용하여 다중 리전 액세스 포인트를 생성할 수 있습니다. 다중 리전 액세스 포인트를 생성할 때, 지원하는 모든 버킷을 제공해야 합니다. 생성한 후에는 다중 리전 액세스 포인트에 버킷을 추가할 수 있는 옵션이 없습니다.

다음 예제에서는 AWS CLI를 사용하여 2개의 버킷이 있는 다중 리전 액세스 포인트를 생성하는 방법을 보여줍니다.

aws s3control create-multi-region-access-point --account-id 111122223333 --details '{ "Name": "simple-multiregionaccesspoint-with-two-regions", "PublicAccessBlock": { "BlockPublicAcls": true, "IgnorePublicAcls": true, "BlockPublicPolicy": true, "RestrictPublicBuckets": true }, "Regions": [ { "Bucket": "DOC-EXAMPLE-BUCKET1" }, { "Bucket": "DOC-EXAMPLE-BUCKET2" } ] }' --region us-west-2