S3 Access Grants에서 제공하는 자격 증명을 사용하여 S3 데이터에 액세스
액세스 권한 부여를 통해 임시 자격 증명을 획득한 피부여자는 해당 임시 자격 증명을 사용하여 Amazon S3 API 작업을 호출하여 데이터에 액세스할 수 있습니다.
피부여자는 AWS Command Line Interface(AWS CLI), AWS SDK, Amazon S3 REST API를 사용하여 S3 데이터에 액세스할 수 있습니다. 또한, AWS Python
S3 Access Grants로부터 임시 자격 증명을 받은 후 피부여자는 해당 자격 증명으로 프로필을 설정하여 데이터를 검색할 수 있습니다.
AWS CLI를 설치하려면 AWS Command Line Interface 사용 설명서의 AWS CLI 설치를 참조하세요.
다음 예시 명령을 사용하려면 user input
placeholders
예 - 프로필 설정
aws configure set aws_access_key_id "$accessKey" --profileaccess-grants-consumer-access-profileaws configure set aws_secret_access_key "$secretKey" --profileaccess-grants-consumer-access-profileaws configure set aws_session_token "$sessionToken" --profileaccess-grants-consumer-access-profile
다음 예시 명령을 사용하려면 user input
placeholders
예 – S3 데이터 가져오기
피부여자는 get-object AWS CLI 명령을 사용하여 데이터에 액세스할 수 있습니다. 피부여자는 put-object, ls 및 기타 S3 AWS CLI 명령도 사용할 수 있습니다.
aws s3api get-object \ --bucketamzn-s3-demo-bucket1\ --keymyprefix\ --regionus-east-2\ --profileaccess-grants-consumer-access-profile
이 섹션에서는 피부여자가 AWS SDK를 사용하여 S3 데이터에 액세스하는 방법의 예시를 보여줍니다.
S3 Access Grants에서 지원되는 S3 작업
피부여자는 S3 Access Grants에서 제공하는 임시 자격 증명을 사용하여 액세스 권한이 있는 S3 데이터에 대해 S3 작업을 수행할 수 있습니다. 다음은 피부여자가 수행할 수 있는 허용 가능한 S3 작업 목록입니다. 허용되는 작업은 액세스 권한 부여에 부여된 권한 수준(READ, WRITE 또는 READWRITE)에 따라 다릅니다.
참고
아래 나열된 Amazon S3 권한 외에도, Amazon S3는 AWS Key Management Service(AWS KMS) Decrypt(kms:decrypt) READ 권한 또는 AWS KMS GenerateDataKey(kms:generateDataKey) WRITE 권한을 직접적으로 호출할 수 있습니다. 이러한 권한으로는 AWS KMS 키에 직접 액세스할 수 없습니다.
| S3 IAM 작업 | API 작업 및 문서 | S3 Access Grants 권한 | S3 리소스 |
|---|---|---|---|
s3:GetObject |
GetObject | READ |
객체 |
s3:GetObjectVersion |
GetObject | READ |
객체 |
s3:GetObjectAcl |
GetObjectAcl | READ |
객체 |
s3:GetObjectVersionAcl |
GetObjectAcl | READ |
객체 |
s3:ListMultipartUploads |
ListParts | READ |
객체 |
s3:PutObject |
PutObject, CreateMultipartUpload, UploadPart, UploadPartCopy, CompleteMultipartUpload | WRITE |
객체 |
s3:PutObjectAcl |
PutObjectAcl | WRITE |
객체 |
s3:PutObjectVersionAcl |
PutObjectAcl | WRITE |
객체 |
s3:DeleteObject |
DeleteObject | WRITE |
객체 |
s3:DeleteObjectVersion |
DeleteObject | WRITE |
객체 |
s3:AbortMultipartUpload |
AbortMultipartUpload | WRITE |
객체 |
s3:ListBucket |
HeadBucket, ListObjectsV2, ListObjects | READ |
버킷 |
s3:ListBucketVersions |
ListObjectVersions | READ |
버킷 |
s3:ListBucketMultipartUploads |
ListMultipartUploads | READ |
버킷 |
