쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

설정
문의하기
피드백
AWS Documentation
AWS 계정 생성
AMS 계정의 S3 버킷에 대한 EC2 인스턴스 쓰기 액세스 허용 - 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구에픽관련 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS 계정의 S3 버킷에 대한 EC2 인스턴스 쓰기 액세스 허용

PDF

작성자: Mansi Suratwala(AWS)

요약

AWS Managed Services (AMS)를 사용하면 AWS 인프라를 보다 효율적이고 안전하게 운영할 수 있습니다. AMS 계정에는 AWS 리소스의 표준화된 관리를 위한 보안 가드레일이 있습니다. 한 가지 가드레일은 기본 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 프로파일이 Amazon Simple Storage Service(Amazon S3) 버킷에 대한 쓰기 액세스를 허용하지 않는다는 것입니다. 하지만 조직에 S3 버킷이 여러 개 있을 수 있으며 EC2 인스턴스의 액세스 제어를 강화해야 할 수도 있습니다. 예를 들어 S3 버킷에 EC2 인스턴스의 데이터베이스 백업을 저장하려고 할 수 있습니다.

이 패턴은 변경 요청(RFCs)을 사용하여 EC2 인스턴스가 AMS 계정의 S3 버킷에 대한 쓰기 액세스를 허용하는 방법을 설명합니다. RFC는 관리형 환경을 변경하기 위해 사용자 또는 AMS가 생성하는 요청으로, 여기에는 특정 작업에 대한 변경 유형(CT) ID가 포함됩니다.

사전 조건 및 제한 사항

사전 조건 

  • AMS 고급 계정. 이에 대한 자세한 내용은 AMS 설명서의 AMS 운영 계획을 참조하세요. 

  • AWS Identity and Access Management (IAM) customer-mc-user-role 역할에 액세스하여 RFCs 제출합니다. 

  • AWS Command Line Interface (AWS CLI)는 AMS 계정의 EC2 인스턴스로 설치 및 구성됩니다. 

  • AMS에서 RFC를 생성하고 제출하는 방법에 대한 이해. 이에 대한 자세한 내용은 AMS 설명서의 AMS 변경 유형이란 무엇입니까?를 참조하세요.

  • 수동 및 자동 변경 유형(CT)에 대한 이해 이에 대한 자세한 내용은 AMS 설명서의 자동 및 수동 CTs를 참조하세요.

아키텍처

기술 스택  

  • AMS

  • AWS CLI

  • Amazon EC2

  • Amazon S3

  • IAM

도구

  • AWS Command Line Interface (AWS CLI)는 명령줄 셸의 명령을 AWS 서비스 통해와 상호 작용하는 데 도움이 되는 오픈 소스 도구입니다.

  • AWS Identity and Access Management (IAM)는 AWS 리소스에 대한 액세스를 인증하고 사용할 수 있는 권한을 부여받은 사용자를 제어하여 리소스에 대한 액세스를 안전하게 관리하는 데 도움이 됩니다.

  • AWS Managed Services (AMS)를 사용하면 AWS 인프라를 보다 효율적이고 안전하게 운영할 수 있습니다. 

  • Amazon Simple Storage Service(S3)는 원하는 양의 데이터를 저장, 보호 및 검색하는 데 도움이 되는 클라우드 기반 객체 스토리지 서비스입니다.

  • Amazon Elastic Compute Cloud(Amazon EC2)는 AWS 클라우드에서 확장 가능한 컴퓨팅 용량을 제공합니다. 필요한 만큼 가상 서버를 시작하고 빠르게 스케일 업하거나 스케일 다운할 수 있습니다.

에픽

작업설명필요한 기술

자동 RFC를 사용하여 S3 버킷을 생성합니다.

  1. AMS 계정에 로그인하고, 변경 유형 선택 페이지를 선택하고, RFC를 선택한 다음 RFC 생성을 선택합니다. 

  2. S3 버킷 자동 RFC 생성을 제출합니다. 

참고

S3 버킷의 이름을 기록해야 합니다.

AWS 시스템 관리자, AWS 개발자

RFC를 사용하여 S3 버킷 생성

작업설명필요한 기술

자동 RFC를 사용하여 S3 버킷을 생성합니다.

  1. AMS 계정에 로그인하고, 변경 유형 선택 페이지를 선택하고, RFC를 선택한 다음 RFC 생성을 선택합니다. 

  2. S3 버킷 자동 RFC 생성을 제출합니다. 

참고

S3 버킷의 이름을 기록해야 합니다.

AWS 시스템 관리자, AWS 개발자
작업설명필요한 기술

수동 RFC를 제출하여 IAM 역할을 생성하세요.

AMS 계정이 온보딩되면 라는 기본 IAM 인스턴스 프로파일customer-mc-ec2-instance-profile이 생성되고 AMS 계정의 각 EC2 인스턴스와 연결됩니다. 그러나 인스턴스 프로파일에는 S3 버킷에 대한 쓰기 권한이 없습니다.

쓰기 권한을 추가하려면 IAM 리소스 생성 설명서 RFC를 제출하여 , customer_deny_policycustomer_ec2_instance_라는 세 가지 정책이 있는 IAM 역할을 생성합니다customer_ec2_s3_integration_policy

중요

customer_ec2_instance_customer_deny_policy 정책은 AMS 계정에 이미 있습니다. 그러나 다음 샘플 정책을 customer_ec2_s3_integration_policy 사용하여를 생성해야 합니다.

{
  "Version": "2012-10-17",
   "Statement": [
    {
      "Sid": "",
       "Effect": "Allow",
       "Principal": {
         "Service": "ec2.amazonaws.com"
      },
       "Action": "sts:AssumeRole"
    }
  ]
}
 
Role Permissions:
{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Action": [
                 "s3:ListBucket",
                 "s3:GetBucketLocation"
            ],
             "Resource": "arn:aws:s3:::",
             "Effect": "Allow"
        },
        {
             "Action": [
                 "s3:GetObject",
                 "s3:PutObject",
                 "s3:ListMultipartUploadParts",
                 "s3:AbortMultipartUpload"
            ],
             "Resource": "arn:aws:s3:::/*",
             "Effect": "Allow"
        }
    ]
}
AWS 시스템 관리자, AWS 개발자

수동 RFC를 제출하여 IAM 인스턴스 프로파일을 대체하세요.

수동 RFC를 제출하여 대상 EC2 인스턴스를 새 IAM 인스턴스 프로파일과 연결하세요.

AWS 시스템 관리자, AWS 개발자

S3 버킷으로의 복사 작업을 테스트합니다.

에서 다음 명령을 실행하여 S3 버킷에 대한 복사 작업을 테스트합니다 AWS CLI.

aws s3 cp test.txt s3://<S3 bucket>/test2.txt
AWS 시스템 관리자, AWS 개발자

IAM 인스턴스 프로파일을 생성하고 EC2 인스턴스에 연결

작업설명필요한 기술

수동 RFC를 제출하여 IAM 역할을 생성하세요.

AMS 계정이 온보딩되면 라는 기본 IAM 인스턴스 프로파일customer-mc-ec2-instance-profile이 생성되고 AMS 계정의 각 EC2 인스턴스와 연결됩니다. 그러나 인스턴스 프로파일에는 S3 버킷에 대한 쓰기 권한이 없습니다.

쓰기 권한을 추가하려면 IAM 리소스 생성 설명서 RFC를 제출하여 , customer_deny_policycustomer_ec2_instance_라는 세 가지 정책이 있는 IAM 역할을 생성합니다customer_ec2_s3_integration_policy

중요

customer_ec2_instance_customer_deny_policy 정책은 AMS 계정에 이미 있습니다. 그러나 다음 샘플 정책을 customer_ec2_s3_integration_policy 사용하여를 생성해야 합니다.

{
  "Version": "2012-10-17",
   "Statement": [
    {
      "Sid": "",
       "Effect": "Allow",
       "Principal": {
         "Service": "ec2.amazonaws.com"
      },
       "Action": "sts:AssumeRole"
    }
  ]
}
 
Role Permissions:
{
     "Version": "2012-10-17",
     "Statement": [
        {
             "Action": [
                 "s3:ListBucket",
                 "s3:GetBucketLocation"
            ],
             "Resource": "arn:aws:s3:::",
             "Effect": "Allow"
        },
        {
             "Action": [
                 "s3:GetObject",
                 "s3:PutObject",
                 "s3:ListMultipartUploadParts",
                 "s3:AbortMultipartUpload"
            ],
             "Resource": "arn:aws:s3:::/*",
             "Effect": "Allow"
        }
    ]
}
AWS 시스템 관리자, AWS 개발자

수동 RFC를 제출하여 IAM 인스턴스 프로파일을 대체하세요.

수동 RFC를 제출하여 대상 EC2 인스턴스를 새 IAM 인스턴스 프로파일과 연결하세요.

AWS 시스템 관리자, AWS 개발자

S3 버킷으로의 복사 작업을 테스트합니다.

에서 다음 명령을 실행하여 S3 버킷에 대한 복사 작업을 테스트합니다 AWS CLI.

aws s3 cp test.txt s3://<S3 bucket>/test2.txt
AWS 시스템 관리자, AWS 개발자

관련 리소스

도움이 필요하십니까?

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.