Amazon S3의 Identity and Access Management - Amazon Simple Storage Service

Amazon S3의 Identity and Access Management

기본적으로 버킷, 객체 및 관련 하위 리소스(예: lifecycle 구성 및 website 구성)를 비롯한 모든 Amazon S3 리소스는 비공개입니다. 리소스 소유자(리소스를 생성한 AWS 계정)만 해당 리소스에 액세스할 수 있습니다. 리소스 소유자는 선택적으로 액세스 정책을 작성하여 다른 사람에게 액세스 권한을 부여할 수 있습니다.

Amazon S3에서는 리소스 기반 정책과 사용자 정책으로 대략 분류된 액세스 정책 옵션을 제공합니다. 리소스(버킷 및 객체)에 연결하는 액세스 정책을 리소스 기반 정책이라고 합니다. 예를 들어 버킷 정책과 액세스 포인트 정책은 리소스 기반 정책입니다. 본인의 계정에 속한 사용자에게 액세스 정책을 연결할 수도 있습니다. 이를 사용자 정책이라고 합니다. 리소스 기반 정책, 사용자 정책 또는 이러한 정책의 조합을 사용하도록 선택하여 Amazon S3 리소스에 대한 권한을 관리할 수 있습니다. 액세스 제어 목록(ACL)으로 다른 AWS 계정에 기본적인 읽기/쓰기 권한을 부여할 수도 있습니다.

기본적으로 다른 AWS 계정이 S3 버킷에 객체를 업로드하면 해당 계정(객체 작성자)이 객체를 소유하고 객체에 액세스할 수 있으며 ACL을 통해 다른 사용자에게 객체에 대한 액세스 권한을 부여할 수 있습니다. 객체 소유권을 사용하여 ACL이 사용 중지되고 버킷 소유자로서 버킷의 모든 객체를 자동으로 소유하도록 이 기본 동작을 변경할 수 있습니다. 결과적으로 데이터에 대한 액세스 제어는 IAM 정책, S3 버킷 정책, Virtual Private Cloud(VPC) 엔드포인트 정책 및 AWS Organizations 서비스 제어 정책(SCP)과 같은 정책을 기반으로 합니다.

Amazon S3의 최신 사용 사례 대부분은 더 이상 ACL을 사용할 필요가 없으며, 각 객체에 대해 액세스를 개별적으로 제어해야 하는 비정상적인 상황을 제외하고는 ACL을 사용 중지하는 것이 좋습니다. 객체 소유권으로 ACL을 사용 중지하고 액세스 제어 정책을 사용할 수 있습니다. ACL을 사용 중지하면 다른 AWS 계정이 업로드한 객체로 버킷을 쉽게 유지 관리할 수 있습니다. 버킷 소유자는 버킷의 모든 객체를 소유하고 정책을 사용하여 객체에 대한 액세스를 관리할 수 있습니다. 자세한 정보는 객체 소유권 제어 및 버킷에 대해 ACL 사용 중지을 참조하십시오.

Amazon S3 객체 및 버킷 액세스 관리에 대한 자세한 내용은 아래 주제를 참조하세요.