Athena에서 Amazon S3 버킷에 대한 교차 계정 액세스 - Amazon Athena

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Athena에서 Amazon S3 버킷에 대한 교차 계정 액세스

일반적인 Amazon Athena 시나리오는 버킷 소유자와 다른 계정의 사용자가 쿼리를 수행할 수 있도록 액세스를 부여하는 것입니다. 이 경우 버킷 정책을 사용하여 액세스를 부여합니다.

참고

에서 계정 간 액세스 관련 정보 AWS Glue, 참조: 계정 간 액세스 권한 부여 in the AWS Glue 개발자 안내서.

버킷 소유자가 생성하여 버킷 s3://my-athena-data-bucket에 적용한 다음 예제 버킷 정책은 이와 다른 계정인 계정 123456789123의 모든 사용자에게 액세스를 부여합니다.

{ "Version": "2012-10-17", "Id": "MyPolicyID", "Statement": [ { "Sid": "MyStatementSid", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:root" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::my-athena-data-bucket", "arn:aws:s3:::my-athena-data-bucket/*" ] } ] }

특정 사용자에 대한 액세스 권한을 부여하려면 Principal 키 대신 사용자를 지정하는 키 root. 예를 들어, 사용자 프로필의 경우 Dave, 사용 arn:aws:iam::123456789123:user/Dave.

사용자 지정 AWS KMS 키로 암호화된 버킷에 대한 교차 계정 액세스

사용자 지정 AWS Key Management Service(AWS KMS) 키로 암호화된 Amazon S3 버킷이 있는 경우, 다른 AWS 계정의 사용자에게 해당 버킷에 대한 액세스 권한을 부여해야 할 수 있습니다.

계정 A의 AWS KMS로 암호화된 버킷에 대한 액세스 권한을 계정 B의 사용자에게 부여하려면 다음 권한이 필요합니다.

  • 계정 A의 버킷 정책은 계정 B에 액세스 권한을 부여해야 합니다.

  • 계정 A의 AWS KMS 키 정책은 계정 B의 사용자에게 액세스 권한을 부여해야 합니다.

  • 계정 B의 AWS Identity and Access Management(IAM) 사용자 정책은 사용자에게 계정 A의 버킷과 키 모두에 대한 액세스 권한을 부여해야 합니다.

다음 절차에서는 이러한 각 권한을 부여하는 방법에 대해 설명합니다.

계정 A의 버킷에 대한 액세스 권한을 계정 B의 사용자에게 부여하려면

  • 계정 A에서 S3 버킷 정책을 검토하고 계정 B의 계정 ID에서 액세스할 수 있도록 허용하는 문이 있는지 확인합니다.

    예를 들어 다음 버킷 정책은 s3:GetObject에 계정 ID 111122223333에 대한 액세스를 허용합니다.

    { "Id": "ExamplePolicy1", "Version": "2012-10-17", "Statement": [ { "Sid": "ExampleStmt1", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::awsexamplebucket/*", "Principal": { "AWS": [ "111122223333" ] } } ] }

계정 A의 AWS KMS 키 정책에서 계정 B의 사용자에게 액세스 권한을 부여하려면

  1. 계정 A의 AWS KMS 키 정책에서 계정 B의 사용자에게 다음 작업에 대한 권한을 부여합니다.

    • kms:Encrypt

    • kms:Decrypt

    • kms:ReEncrypt*

    • kms:GenerateDataKey*

    • kms:DescribeKey

    다음 예제에서는 하나의 IAM 사용자 또는 역할에만 키 액세스 권한을 부여합니다.

    { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/role_name", ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
  2. 계정 A에서 AWS 관리 콘솔 정책 보기를 사용하여 키 정책을 검토합니다.

  3. 키 정책에서 다음 문에 계정 B가 보안 주체로 나열되어 있는지 확인합니다.

    "Sid": "Allow use of the key"
  4. "Sid": "Allow use of the key" 문이 없으면 다음 단계를 수행하십시오.

    1. 콘솔 기본 보기를 사용하여 키 정책을 보도록 전환합니다.

    2. 계정 B의 계정 ID를 키에 대한 액세스 권한이 있는 외부 계정으로 추가합니다.

계정 B의 IAM 사용자 정책에서 계정 A의 버킷 및 키에 대한 액세스 권한을 부여하려면

  1. 계정 B에서 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 계정 B에서 사용자와 연결된 IAM 사용자 또는 역할을 엽니다.

  3. IAM 사용자 또는 역할에 적용된 권한 정책 목록을 검토합니다.

  4. 버킷에 대한 액세스 권한을 부여하는 정책이 적용되었는지 확인합니다.

    다음 예제 문은 IAM 사용자에게 버킷 awsexamplebuckets3:GetObjects3:PutObject 작업에 대한 액세스 권한을 부여합니다.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "ExampleStmt2", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::awsexamplebucket/*" } ] }
  5. 키에 대한 액세스 권한을 부여하는 정책이 적용되었는지 확인합니다.

    참고

    계정 B의 IAM 사용자 또는 역할에 이미 관리자 액세스 권한이 있으면 사용자의 IAM 정책에서 키에 대한 액세스 권한을 부여할 필요가 없습니다.

    다음 예제 문은 IAM 사용자에게 arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd 키를 사용할 수 있는 액세스 권한을 부여합니다.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "ExampleStmt3", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Effect": "Allow", "Resource": "arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd" } ] }

IAM 사용자의 권한을 추가하거나 수정하는 방법에 대한 지침은 IAM 사용자의 권한 변경을 참조하십시오.

버킷 객체에 대한 교차 계정 액세스

버킷의 소유 계정(계정 A) 이외의 계정(계정 C)에서 업로드한 객체에는 쿼리 계정(계정 B)에 읽기 액세스 권한을 부여하는 명시적인 객체 수준 ACL이 필요할 수 있습니다. 이러한 요구 사항을 피하려면 계정 C가 계정 A의 버킷에 객체를 배치하기 전에 계정 A의 역할을 맡아야 합니다. 자세한 내용은 Amazon S3 버킷에 있는 객체에 대한 교차 계정 액세스 권한을 제공하려면 어떻게 해야 합니까?를 참조하십시오.