ACL을 사용한 액세스 관리 - Amazon Simple Storage Service

ACL을 사용한 액세스 관리

액세스 제어 목록(ACL)은 리소스 기반 옵션 중 하나로(액세스 관리 개요 참조), 해당 옵션을 사용해 버킷과 객체에 대한 액세스를 관리할 수 있습니다. ACL로 다른 AWS 계정에 기본적인 읽기/쓰기 권한을 부여할 수 있습니다. ACL로 하는 권한 관리에는 한계가 있습니다.

예를 들어, 다른 AWS 계정에만 권한을 부여할 수 있고 본인 계정의 사용자에게는 권한을 부여할 수 없습니다. 조건부 권한을 부여하거나 명시적으로 권한을 거부할 수 없습니다. ACL은 특정한 시나리오에 적합합니다. 예를 들어, 버킷 소유자가 다른 AWS 계정에 객체 업로드를 허용한다면 이러한 객체에 대한 권한은 해당 객체를 소유한 AWS 계정이 객체 ACL을 사용할 경우에만 관리할 수 있습니다.

기본적으로 다른 AWS 계정이 S3 버킷에 객체를 업로드하면 해당 계정(객체 작성자)이 객체를 소유하고 객체에 액세스할 수 있으며 ACL을 통해 다른 사용자에게 객체에 대한 액세스 권한을 부여할 수 있습니다. 객체 소유권을 사용하여 ACL이 사용 중지되고 버킷 소유자로서 버킷의 모든 객체를 자동으로 소유하도록 이 기본 동작을 변경할 수 있습니다. 결과적으로 데이터에 대한 액세스 제어는 IAM 정책, S3 버킷 정책, Virtual Private Cloud(VPC) 엔드포인트 정책 및 AWS Organizations 서비스 제어 정책(SCP)과 같은 정책을 기반으로 합니다.

Amazon S3의 최신 사용 사례 대부분은 더 이상 ACL을 사용할 필요가 없으며, 각 객체에 대해 액세스를 개별적으로 제어해야 하는 비정상적인 상황을 제외하고는 ACL을 사용 중지하는 것이 좋습니다. 객체 소유권으로 ACL을 사용 중지하고 액세스 제어 정책을 사용할 수 있습니다. ACL을 사용 중지하면 다른 AWS 계정이 업로드한 객체로 버킷을 쉽게 유지 관리할 수 있습니다. 버킷 소유자는 버킷의 모든 객체를 소유하고 정책을 사용하여 객체에 대한 액세스를 관리할 수 있습니다. 자세한 정보는 객체 소유권 제어 및 버킷에 대해 ACL 사용 중지을 참조하십시오.

중요

버킷이 S3 객체 소유권에 대해 버킷 소유자 시행 설정을 사용하는 경우 정책을 사용하여 버킷과 버킷의 객체에 대한 액세스 권한을 부여해야 합니다. ACL 설정 또는 ACL 업데이트 요청이 실패하고 AccessControlListNotSupported 오류 코드를 반환합니다. ACL 읽기 요청은 계속 지원됩니다.

ACL에 대한 자세한 내용은 다음 주제를 참조하세요.