Amazon S3에 액세스

ID 기반 정책, 버킷 리소스 정책, 액세스 포인트 정책 또는 위 정책들의 조합을 사용하여 Amazon S3 위치에 대한 액세스 권한을 부여할 수 있습니다. 액터가 Athena와 상호 작용하면 해당 권한이 Athena를 통해 전달되어 Athena가 액세스할 수 있는 대상이 결정됩니다. 즉, 사용자는 Athena에서 Amazon S3 버킷을 쿼리하려면 Amazon S3 버킷에 액세스할 수 있는 권한이 있어야 합니다.

IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 IAM 사용 설명서의 IAM 보안 모범 사례를 참조하세요.

정책에서 aws:SourceIp를 구성하면 Athena는 지정한 IP 주소를 사용하여 Amazon S3 버킷에 액세스합니다. aws:SourceVpc 또는 aws:SourceVpce 조건 키에 따라 Amazon S3 리소스에 대한 액세스를 제한하거나 허용할 수 없습니다.

참고

IAM Identity Center 인증을 사용하는 Athena 작업 그룹의 경우 신뢰할 수 있는 ID 전파 ID를 사용하도록 S3 Access Grants를 구성해야 합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 S3 Access Grants and directory identities를 참조하십시오.

Amazon S3 액세스 포인트 및 액세스 포인트 별칭

Amazon S3 버킷에 공유 데이터 세트이 있는 경우 수백 개의 사용 사례에 대해 액세스를 관리하는 하나의 버킷 정책을 유지하는 것은 어려울 수 있습니다.

Amazon S3 버킷 액세스 포인트는 이 문제를 해결하는 데 도움이 됩니다. 버킷에는 여러 액세스 포인트가 있을 수 있으며, 각 액세스 포인트는 서로 다른 방식으로 버킷에 대한 액세스 권한을 제어하는 정책이 있습니다.

생성한 각 액세스 포인트에 대해 Amazon S3는 액세스 포인트를 나타내는 별칭을 생성합니다. 별칭은 Amazon S3 버킷 이름 형식이므로 Athena에서 CREATE TABLE 문의 LOCATION 절에 이 별칭을 사용할 수 있습니다. 이렇게 하면 버킷에 대한 Athena의 액세스는 별칭이 나타내는 액세스 포인트에 대한 정책에 의해 제어됩니다.

자세한 내용은 Amazon S3 사용 설명서의 Amazon S3에서 테이블 위치 및 액세스 포인트 사용을 참조하세요.

CalledVia 컨텍스트 키 사용

보안 강화를 위해 aws:CalledVia 전역 조건 컨텍스트 키를 사용할 수 있습니다. aws:CalledVia 키에는 보안 주체를 대신하여 요청을 수행한 체인의 각 서비스 목록이 정렬되어 있습니다. aws:CalledVia 컨텍스트 키에 Athena 서비스 보안 주체 이름 athena.amazonaws.com을 지정하여 Athena에서 보낸 요청으로만 요청을 제한할 수 있습니다. 자세한 내용은 Athena와 CalledVia 컨텍스트 키 사용 섹션을 참조하세요.

추가 리소스

Amazon S3 액세스 권한을 부여하는 방법에 대한 자세한 내용과 예는 다음 리소스를 참조하세요.

• 예제 시연: Amazon S3 사용 설명서의 액세스 관리.

• AWS 지식 센터의 Amazon S3 버킷에 있는 객체에 대해 계정 간 액세스 권한을 제공하려면 어떻게 해야 합니까?.

• Amazon S3 버킷에 대한 Athena의 계정 간 액세스.