다중 리전 액세스 포인트 권한 - Amazon Simple Storage Service

다중 리전 액세스 포인트 권한

다중 리전 액세스 포인트를 통해 요청하면 Amazon S3는 다중 리전 액세스 포인트 및 요청이 라우팅되는 기본 버킷에 대해 요청을 승인합니다. 따라서 요청이 성공하려면 다중 리전 액세스 포인트와 하나 이상의 기본 버킷이 모두 작업을 허용해야 합니다.

예를 들어 AWS 계정의 AppDataReader 사용자를 이용하여 다중 리전 액세스 포인트를 통해 GetObject 요청을 한다고 가정합니다. 요청이 거부되지 않도록 하려면 다중 리전 액세스 포인트 및 다중 리전 액세스 포인트 기본 버킷 각각의 s3:GetObject 권한을 AppDataReader 사용자에게 부여해야 합니다. AppDataReader는 이 권한을 부여하지 않는 버킷에서 데이터를 검색할 수 없습니다.

일반적으로 기본 버킷에는 모든 경우에 적용되는 개별 S3 퍼블릭 액세스 차단 설정, 정책 및 액세스 제어 목록(ACL(객체 ACL 등))이 계속 남아 있습니다.

다중 리전 액세스 포인트에 대한 퍼블릭 액세스 관리

다중 리전 액세스 포인트는 각 다중 리전 액세스 포인트에 대해 독립적인 퍼블릭 액세스 차단 설정을 지원합니다. 다중 리전 액세스 포인트를 생성할 때 해당 다중 리전 액세스 포인트에 적용되는 퍼블릭 액세스 차단 설정을 지정할 수 있습니다.

다중 리전 액세스 포인트를 통해 이루어진 요청에 대해 Amazon S3는 다중 리전 액세스 포인트, 기본 버킷 및 다중 리전 액세스 포인트와 기본 버킷을 모두 소유하는 계정에 대한 퍼블릭 액세스 차단 설정을 평가합니다. 이러한 설정 중 하나라도 요청이 차단되어야 함을 나타내는 경우, Amazon S3은 요청을 거부합니다. Amazon S3 퍼블릭 액세스 차단 기능에 대한 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단 단원을 참조하세요.

중요

다중 리전 액세스 포인트에는 기본값으로 모든 퍼블릭 액세스 차단 설정이 활성화되어 있습니다. 다중 리전 액세스 포인트에 적용하지 않으려는 모든 설정을 명시적으로 꺼야 합니다. Amazon S3에서는 현재 다중 리전 액세스 포인트가 생성된 후 퍼블릭 액세스 차단 설정을 변경하도록 지원하지 않습니다.

다중 리전 액세스 포인트 정책에 대한 액세스 제어 위임

다중 리전 액세스 포인트 액세스 정책에 버킷에 대한 액세스 제어를 위임할 수 있습니다. 다음 예제 버킷 정책은 버킷 소유자의 계정이 소유한 모든 액세스 포인트에 대한 전체 액세스를 허용합니다. 이는 이 버킷에 대한 모든 액세스가 해당 액세스 포인트에 연결된 정책에 의해 제어됨을 의미합니다. 버킷에 직접 액세스할 필요가 없는 모든 사용 사례에 대해 이 방법으로 버킷을 구성하는 것이 좋습니다.

{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Bucket ARN/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointAccount" : "Bucket owner's account ID" } } }] }

다음 예제 버킷 정책은 버킷의 다중 리전 액세스 포인트에 액세스 제어를 위임합니다. 특정 다중 리전 액세스 포인트에 대한 액세스를 위임하려는 경우 s3:DataAccessPointArn 조건 키를 대신 사용할 수 있습니다.

{ "Version": "2012-10-17", "Statement" : [ { "Effect": "Allow", "Principal" : { "AWS": "*" }, "Action" : "*", "Resource" : [ "Bucket ARN", "Bucket ARN/*"], "Condition": { "StringEquals" : { "s3:DataAccessPointArn" : "MRAP_ARN" } } }] }