Amazon S3의 정책 및 권한 - Amazon Simple Storage Service

Amazon S3의 정책 및 권한

이 페이지에서는 Amazon S3의 버킷 및 사용자 정책에 대한 개요를 제공하고 정책의 기본 요소에 대해 설명합니다. 나열된 각 요소는 해당 요소에 대한 자세한 내용과 사용 방법의 예제로 연결됩니다.

Amazon S3 작업, 리소스 및 조건의 전체 목록은 Amazon S3에 사용되는 작업, 리소스 및 조건 키 단원을 참조하세요.

가장 기본적인 경우 정책에는 다음 요소가 포함되어 있습니다.

  • 리소스 – 버킷, 객체, 액세스 포인트 및 작업은 권한을 허용하거나 거부할 수 있는 Amazon S3 리소스입니다. 정책에서는 Amazon 리소스 이름(ARN)을 사용하여 리소스를 식별해야 합니다. 자세한 내용은 Amazon S3 리소스 섹션을 참조하세요.

  • 작업 – 각 리소스에 대해 Amazon S3에서는 작업의 집합을 지원합니다. 작업 키워드를 사용하여 허용(또는 거부)할 리소스 작업을 식별합니다.

    예를 들어 s3:ListBucket 권한은 사용자가 Amazon S3 GET Bucket (List Objects) 작업을 사용할 수 있도록 허용합니다. 자세한 내용은 Amazon S3 작업 섹션을 참조하세요.

  • Effect – 사용자가 특정 작업을 요청하는 경우의 결과입니다. 이는 허용 또는 거부 중에 하나가 될 수 있습니다.

    명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 암시적으로 거부됩니다. 리소스에 대한 액세스를 명시적으로 거부할 수도 있습니다. 다른 정책에서 액세스 권한을 부여하더라도 사용자가 해당 리소스에 액세스할 수 없도록 하려고 할 때 이러한 작업을 수행할 수 있습니다. 자세한 내용은 IAM JSON 정책 요소: 효과를 참조하세요.

  • 보안 주체 - 문에서의 작업 및 리소스에 액세스할 수 있는 계정 또는 사용자입니다. 버킷 정책에서 보안 주체는 사용자, 계정, 서비스 또는 이 권한의 수신자인 기타 주체입니다. 자세한 내용은 Principals 섹션을 참조하세요.

  • 조건 – 정책이 적용되기 위한 조건입니다. AWS 전역 키와 Amazon S3 전용 키를 사용하여 Amazon S3 액세스 정책에서 조건을 지정할 수 있습니다. 자세한 내용은 Amazon S3 조건 키 예 섹션을 참조하세요.

다음 버킷 정책 예제에서는 효과, 보안 주체, 작업 및 리소스 요소를 보여줍니다. 이 정책에서는 Account-ID 계정의 사용자인 Dave에게 s3:GetObject 버킷의 s3:GetBucketLocation, s3:ListBucketawsexamplebucket1 Amazon S3 권한을 허용합니다.

{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleStatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:user/Dave" }, "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:::awsexamplebucket1" ] } ] }

자세한 내용은 아래 항목을 참조하세요. 전체 정책 언어 정보는 IAM 사용 설명서정책 및 권한IAM JSON 정책 참조를 참조하세요.