Amazon S3: 특정 S3 버킷으로 관리를 제한 - AWS Identity and Access Management

Amazon S3: 특정 S3 버킷으로 관리를 제한

이 예제에서는 특정 버킷에 대한 모든 S3 작업을 허용하지만 Amazon S3를 제외한 모든 AWS 서비스에 대한 액세스는 명시적으로 거부함으로써 S3 버킷의 관리를 제한하는 IAM 정책을 생성하는 방법을 보여줍니다. 이 정책에서는 s3:ListAllMyBuckets 또는 s3:GetObject와 같이 S3 버킷에서 수행 불가능한 작업에 대한 액세스도 거부합니다. 이 정책은 AWS API 또는 AWS CLI에서 이러한 작업을 프로그래밍 방식으로 완료하는 데 필요한 권한을 부여합니다. 이 정책을 사용하려면 정책 예제의 기울임꼴 자리 표시자 텍스트를 본인의 정보로 대체하십시오. 그런 다음 정책 생성 또는 정책 편집의 지침을 따릅니다.

이 정책을 이 정책에서 거부하는 작업을 허용하는 다른 정책(예: AmazonS3FullAccess 또는 AmazonEC2FullAccess AWS 관리형 정책)과 조합하여 사용하는 경우 액세스가 거부됩니다. 이는 명시적 거부문이 허용문보다 우선 적용되기 때문입니다. 자세한 내용은 섹션을 참조하세요계정 내에서 요청 허용 여부 결정

주의

NotActionNotResource는 신중히 사용해야 하는 고급 정책 요소입니다. 이 정책에서는 Amazon S3를 제외한 모든 AWS 서비스에 대한 액세스를 거부합니다. 이 정책을 사용자에게 연결할 경우 다른 서비스에 대한 권한을 부여하는 다른 정책은 무시되거나 액세스가 거부됩니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] }, { "Effect": "Deny", "NotAction": "s3:*", "NotResource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ] }