# 다중 리전 액세스 포인트 생성
Amazon S3에서 다중 리전 액세스 포인트를 생성하려면 다음을 수행합니다.
+ 다중 리전 액세스 포인트의 이름을 지정합니다.
+ 다중 리전 액세스 포인트에 대한 요청을 처리할 각 AWS 리전에서 버킷을 하나씩 선택합니다.
+ 다중 리전 액세스 포인트에 Amazon S3 퍼블릭 액세스를 차단 설정을 구성합니다.
Amazon S3가 비동기적으로 처리하는 생성 요청에 이 정보를 모두 제공합니다. Amazon S3는 비동기 생성 요청의 상태를 모니터링하는 데 사용할 수 있는 토큰을 제공합니다.
정책을 저장하기 전에 AWS Identity and Access Management Access Analyzer의 보안 경고, 오류, 일반 경고 및 제안 사항을 해결해야 합니다. IAM Access Analyzer는 정책 확인은 실행하여 IAM [정책 문법](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) 및 [모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)에 대해 정책을 검증합니다. 이러한 확인은 결과를 생성하고 보안 모범 사례를 준수하고 작동하는 정책을 작성하는 데 도움이 되는 실행 가능한 권장 사항을 제공합니다. IAM 액세스 분석기를 사용한 정책 검증에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 액세스 분석기 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요. IAM Access Analyzer에서 반환된 경고, 오류 및 제안 사항 목록을 보려면 [IAM Access Analyzer 정책 확인 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)를 참조하세요.
API를 사용하는 경우 다중 리전 액세스 포인트 생성 요청은 비동기적입니다. 다중 리전 액세스 포인트 생성 요청을 제출하면 Amazon S3가 요청을 동기적으로 승인합니다. 그런 다음 생성 요청의 진행 상황을 추적하는 데 사용할 수 있는 토큰을 즉시 반환합니다. 다중 리전 액세스 포인트를 생성 및 관리를 위한 비동기 요청을 추적에 대한 자세한 내용은 [지원되는 API 작업으로 다중 리전 액세스 포인트 사용](MrapOperations.md) 섹션을 참조하세요.
다중 리전 액세스 포인트를 생성한 후 이에 대한 액세스 제어 정책을 생성할 수 있습니다. 각 다중 리전 액세스 포인트에는 연결된 정책이 있을 수 있습니다. 다중 리전 액세스 포인트 정책은 리소스, 사용자 또는 기타 조건별로 다중 리전 액세스 포인트 사용을 제한할 수 있는 리소스 기반 정책입니다.
**참고**
애플리케이션 또는 사용자가 다중 리전 액세스 포인트를 통해 객체에 액세스할 수 있으려면 다음 두 정책이 모두 요청을 허용해야 합니다.
다중 리전 액세스 포인트에 대한 액세스 정책
객체가 포함된 기본 버킷에 대한 액세스 정책
두 정책이 서로 다른 경우 더 제한적인 정책이 우선합니다.
다중 리전 액세스 포인트에 대한 권한 관리를 단순화하려면 버킷의 액세스 제어를 다중 리전 액세스 포인트에 위임하면 됩니다. 자세한 내용은 [다중 리전 액세스 포인트 정책 예시](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples) 섹션을 참조하세요.
버킷에 다중 리전 액세스 포인트를 사용해도 버킷이 기존 버킷 이름이나 Amazon 리소스 이름(ARN)을 통해 액세스할 때 버킷의 동작은 변경되지 않습니다. 버킷에 대한 모든 기존 작업은 이전과 같이 계속 작동합니다. 다중 리전 액세스 포인트 정책에 포함시키는 제한은 해당 다중 리전 액세스 포인트를 통해 이루어진 요청에만 적용됩니다.
다중 리전 액세스 포인트를 생성한 후에는 정책을 업데이트할 수 있지만 정책을 삭제할 수는 없습니다. 하지만 모든 권한을 거부하도록 다중 리전 액세스 포인트 정책을 업데이트할 수 있습니다.
**Topics**
+ [Amazon S3 다중 리전 액세스 포인트 이름 지정 규칙](multi-region-access-point-naming.md)
+ [Amazon S3 다중 리전 액세스 포인트용 버킷 선택 규칙](multi-region-access-point-buckets.md)
+ [Amazon S3 다중 리전 액세스 포인트 생성](multi-region-access-point-create-examples.md)
+ [Amazon S3 다중 리전 액세스 포인트를 사용하여 퍼블릭 액세스 차단](multi-region-access-point-block-public-access.md)
+ [Amazon S3 다중 리전 액세스 포인트 구성 세부 정보 보기](multi-region-access-point-view-examples.md)
+ [다중 리전 액세스 포인트 삭제](multi-region-access-point-delete-examples.md)
# Amazon S3 다중 리전 액세스 포인트 이름 지정 규칙
다중 리전 액세스 포인트를 생성할 때, 선택한 문자열인 이름을 지정합니다. 다중 리전 액세스 포인트를 생성한 후에는 이름을 변경할 수 없습니다. 이름은 AWS 계정에서 고유해야 하며, [다중 리전 액세스 포인트 규제 및 제한](MultiRegionAccessPointRestrictions.md)에 나열된 이름 지정 요구 사항을 준수해야 합니다. 다중 리전 액세스 포인트를 쉽게 식별할 수 있도록 사용자 또는 조직에 의미 있는 이름 또는 시나리오를 반영하는 이름을 사용합니다.
`GetMultiRegionAccessPoint` 및 `PutMultiRegionAccessPointPolicy`와 같은 다중 리전 액세스 포인트 관리 작업을 호출할 때 이 이름을 사용합니다. 이 이름은 다중 리전 액세스 포인트로 요청을 보내는 데 사용되지 않으며 다중 리전 액세스 포인트를 사용하여 요청하는 클라이언트에게는 노출될 필요가 없습니다.
Amazon S3가 다중 리전 액세스 포인트를 생성하면 자동으로 별칭을 할당합니다. 이 별칭은 `.mrap`로 끝나는 고유한 영숫자 문자열입니다. 별칭은 다중 리전 액세스 포인트의 Amazon 리소스 이름(ARN)과 호스트 이름을 구성하는 데 사용됩니다. 또한 정규화된 이름은 다중 리전 액세스 포인트의 별칭을 기반으로 합니다.
별칭에서 다중 리전 액세스 포인트의 이름을 확인할 수 없으므로 다중 리전 액세스 포인트의 이름, 용도 또는 소유자가 노출될 위험 없이 별칭을 공개할 수 있습니다. Amazon S3는 각각의 새로운 다중 리전 액세스 포인트에 대한 별칭을 선택하며 별칭은 변경할 수 없습니다. 다중 리전 액세스 포인트 주소 지정에 대한 자세한 내용은 [다중 리전 액세스 포인트를 통한 요청](MultiRegionAccessPointRequests.md) 섹션을 참조하세요.
다중 리전 액세스 포인트 별칭은 항상 고유하며 다중 리전 액세스 포인트의 이름이나 구성을 기반으로 하지 않습니다. 다중 리전 액세스 포인트를 생성한 후 삭제하고 동일한 이름과 구성의 다른 액세스 포인트를 생성하면 두 번째 다중 리전 액세스 포인트의 별칭은 첫 번째 액세스 포인트와 달라집니다. 새로운 다중 리전 액세스 포인트는 이전의 다중 리전 액세스 포인트와 동일한 별칭을 가질 수 없습니다.
# Amazon S3 다중 리전 액세스 포인트용 버킷 선택 규칙
각 다중 리전 액세스 포인트는 요청을 이행할 리전과 연결됩니다. 다중 리전 액세스 포인트는 각 리전에서 정확히 하나의 버킷과 연결되어야 합니다. 요청에서 각 버킷의 이름을 지정하여 다중 리전 액세스 포인트를 생성합니다. 다중 리전 액세스 포인트를 지원하는 버킷은 다중 리전 액세스 포인트를 소유한 동일한 AWS 계정에 있거나 다른 AWS 계정에 있을 수 있습니다.
다중 리전 액세스 포인트에서 단일 버킷을 사용할 수 있습니다.
**중요**
다중 리전 액세스 포인트와 연결된 버킷은 생성할 때만 지정할 수 있습니다. 버킷을 생성한 후에는 다중 리전 액세스 포인트 구성에서 추가, 수정 또는 제거할 수 없습니다. 버킷을 변경하려면 전체 다중 리전 액세스 포인트를 삭제하고 새 액세스 포인트를 생성해야 합니다.
다중 리전 액세스 포인트의 일부인 버킷은 삭제할 수 없습니다. 다중 리전 액세스 포인트에 연결된 버킷을 삭제하려면 먼저 다중 리전 액세스 포인트를 삭제해야 합니다.
다른 계정이 소유한 버킷을 다중 리전 액세스 포인트에 추가하면 다중 리전 액세스 포인트에 대한 액세스 권한을 부여하도록 버킷 소유자가 버킷 정책도 업데이트해야 합니다. 그러지 않으면 다중 리전 액세스 포인트가 해당 버킷에서 데이터를 검색할 수 없습니다. 이러한 액세스 권한을 부여하는 방법을 보여주는 정책의 예시는 [다중 리전 액세스 포인트 정책 예시](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples)를 참조하세요.
일부 리전에서는 다중 리전 액세스 포인트를 지원하지 않습니다. 지원되는 리전 목록을 보려면 [다중 리전 액세스 포인트 규제 및 제한](MultiRegionAccessPointRestrictions.md) 섹션을 참조하세요.
복제 규칙을 생성하여 버킷 간에 데이터를 동기화할 수 있습니다. 이러한 규칙을 사용하면 소스 버킷에서 대상 버킷으로 데이터를 자동으로 복사할 수 있습니다. 버킷을 다중 리전 액세스 포인트에 연결해도 복제 작동 방식에는 영향을 미치지 않습니다. 이후 섹션에서 다중 리전 액세스 포인트를 사용한 복제 구성에 대해 설명합니다.
**중요**
다중 리전 액세스 포인트에 요청하면 다중 리전 액세스 포인트는 다중 리전 액세스 포인트에 있는 버킷의 데이터 콘텐츠를 인식하지 못합니다. 따라서 요청을 받는 버킷에는 요청된 데이터가 포함되어 있지 않을 수 있습니다. 하나의 다중 리전 액세스 포인트와 연결된 Amazon S3 버킷에 일관된 데이터 세트를 생성하려면 S3 크로스 리전 복제(CRR)를 구성하는 것이 좋습니다. 자세한 내용은 [다중 리전 액세스 포인트와 함께 사용할 복제 구성](MultiRegionAccessPointBucketReplication.md) 섹션을 참조하세요.
# Amazon S3 다중 리전 액세스 포인트 생성
다음 예시에서는 Amazon S3 콘솔을 사용하여 다중 리전 액세스 포인트를 생성하는 방법을 보여줍니다.
## S3 콘솔 사용
**다중 리전 액세스 포인트 생성**
**참고**
다중 리전 액세스 포인트 옵트인 리전은 현재 Amazon S3 콘솔에서 지원되지 않습니다.
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **다중 리전 액세스 포인트)**를 선택합니다.
1. **다중 리전 액세스 포인트 생성**을 선택하여 다중 리전 액세스 포인트 생성을 시작합니다.
1. **다중 리전 액세스 포인트** 페이지의 **다중 리전 액세스 포인트 이름** 필드에 다중 리전 액세스 포인트의 이름을 입력합니다.
1. 이 다중 리전 액세스 포인트와 연결할 버킷을 선택합니다. 계정에 있는 버킷을 선택하거나 다른 계정의 버킷을 선택할 수 있습니다.
**참고**
사용자 계정 또는 다른 계정에서 하나 이상의 버킷을 추가해야 합니다. 또한 다중 리전 액세스 포인트는 AWS 리전당 한 개의 버킷만 지원한다는 점을 유의하세요. 따라서 동일한 리전에서 두 개의 버킷을 추가할 수 없습니다. [기본적으로 비활성화된 AWS 리전](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)은 지원되지 않습니다.
+ 사용자 계정에 있는 버킷을 추가하려면 **버킷 추가**를 선택합니다. 사용자 계정에 있는 모든 버킷의 목록이 표시됩니다. 이름으로 버킷을 검색하거나 버킷 이름을 알파벳순으로 정렬할 수 있습니다.
+ 다른 계정에서 버킷을 추가하려면 **다른 계정에서 버킷 추가**를 선택합니다. 다른 계정에서는 버킷을 검색하거나 찾아볼 수 없으므로 정확한 버킷 이름과 AWS 계정 ID를 알고 있어야 합니다.
**참고**
유효한 AWS 계정 ID와 버킷 이름을 입력해야 합니다. 또한 버킷은 지원되는 리전에 있어야 합니다. 그렇지 않으면 다중 리전 액세스 포인트를 만들려고 할 때 오류가 발생합니다. 다중 리전 액세스 포인트를 지원하는 리전 목록은 [다중 리전 액세스 포인트 규제 및 제한](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html)을 참조하세요.
1. (선택 사항) 추가한 버킷을 제거해야 하는 경우 **제거**를 선택합니다.
**참고**
다중 리전 액세스 포인트 생성을 완료한 후에는 이 다중 리전 액세스 포인트에 버킷을 추가하거나 버킷을 제거할 수 없습니다.
1. **이 다중 리전 액세스 포인트에 대한 퍼블릭 액세스 차단 설정(Block Public Access settings for this Multi-Region Access Point)**에서 다중 리전 액세스 포인트에 적용할 퍼블릭 액세스 차단 설정을 선택합니다. 새 다중 리전 액세스 포인트에는 기본값으로 모든 퍼블릭 액세스 차단 설정이 사용 설정되어 있습니다. 특정 설정을 사용 중지해야 하는 경우가 아니면 모든 설정을 그대로 유지하는 것이 좋습니다.
**참고**
다중 리전 액세스 포인트를 만든 후에는 다중 리전 액세스 포인트의 퍼블릭 액세스 차단 설정을 변경할 수 없습니다. 따라서 퍼블릭 액세스를 차단하려면 다중 리전 액세스 포인트를 생성하기 전에 퍼블릭 액세스 없이 애플리케이션이 제대로 작동하는지 확인하세요.
1. **다중 리전 액세스 포인트 생성(Create Multi-Region Access Point)**을 선택합니다.
**중요**
다른 계정이 소유한 버킷을 다중 리전 액세스 포인트에 추가할 때는 다중 리전 액세스 포인트에 대한 액세스 권한을 부여하도록 버킷 소유자가 버킷 정책도 업데이트해야 합니다. 그러지 않으면 다중 리전 액세스 포인트가 해당 버킷에서 데이터를 검색할 수 없습니다. 이러한 액세스 권한을 부여하는 방법을 보여주는 정책의 예시는 [다중 리전 액세스 포인트 정책 예시](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples)를 참조하세요.
## AWS CLI 사용
AWS CLI를 사용하여 다중 리전 액세스 포인트를 생성할 수 있습니다. 다중 리전 액세스 포인트를 생성할 때 다중 리전 액세스 포인트가 지원할 모든 버킷을 제공해야 합니다. 생성한 후에는 다중 리전 액세스 포인트에 버킷을 추가할 수 없습니다.
다음 예시에서는 AWS CLI를 사용하여 2개의 버킷이 있는 다중 리전 액세스 포인트를 생성하는 방법을 보여줍니다. 이 예 명령을 사용하려면 `user input placeholders`를 실제 정보로 대체하세요.
**참고**
옵트인 리전의 버킷을 사용하여 다중 리전 액세스 포인트를 만들려면 먼저 [모든 옵트인 리전을 활성화](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)해야 합니다. 그러지 않으면 실제로 옵트인하지 않은 옵트인 리전의 버킷을 사용하여 다중 리전 액세스 포인트를 만들려고 할 때 `403 InvalidRegion` 오류가 발생합니다.
```
aws s3control create-multi-region-access-point --account-id 111122223333 --details '{
"Name": "simple-multiregionaccesspoint-with-two-regions",
"PublicAccessBlock": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"Regions": [
{ "Bucket": "amzn-s3-demo-bucket1" },
{ "Bucket": "amzn-s3-demo-bucket2" }
]
}' --region us-west-2
```
# Amazon S3 다중 리전 액세스 포인트를 사용하여 퍼블릭 액세스 차단
각 다중 리전 액세스 포인트에는 Amazon S3 퍼블릭 액세스를 차단하는 고유한 설정이 있습니다. 이러한 설정은 다중 리전 액세스 포인트와 기본 버킷을 소유한 AWS 계정에 대한 퍼블릭 액세스 차단 설정과 함께 작동합니다.
Amazon S3가 요청을 승인하면 이러한 설정의 가장 제한적인 조합을 적용합니다. 이러한 리소스(다중 리전 액세스 포인트 소유자 계정, 기본 버킷 또는 버킷 소유자 계정)에 대한 퍼블릭 액세스 차단 설정이 요청된 작업 또는 리소스에 대한 액세스를 차단하는 경우 Amazon S3는 요청을 거부합니다.
특정 설정을 사용 중지해야 하는 경우가 아니면 모든 퍼블릭 액세스 차단 설정을 사용 설정하는 것이 좋습니다. 다중 리전 액세스 포인트에는 기본적으로 모든 퍼블릭 액세스 차단 설정이 사용 설정되어 있습니다. 퍼블릭 액세스 차단이 활성화된 경우 다중 리전 액세스 포인트는 인터넷 기반 요청을 수락할 수 없습니다.
**중요**
다중 리전 액세스 포인트를 만든 후에는 다중 리전 액세스 포인트의 퍼블릭 액세스 차단 설정을 변경할 수 없습니다.
Amazon S3 퍼블릭 액세스 차단에 대한 자세한 내용은 [Amazon S3 스토리지에 대한 퍼블릭 액세스 차단](access-control-block-public-access.md) 섹션을 참조하세요.
# Amazon S3 다중 리전 액세스 포인트 구성 세부 정보 보기
다음 예시에서는 Amazon S3 콘솔을 사용하여 다중 리전 액세스 포인트 구성 세부 정보를 확인하는 방법을 보여줍니다.
## S3 콘솔 사용
**다중 리전 액세스 포인트 생성**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **다중 리전 액세스 포인트)**를 선택합니다.
1. 구성 세부 정보를 보려는 다중 리전 액세스 포인트의 이름을 선택합니다.
+ **속성** 탭에는 다중 리전 액세스 포인트와 연결된 모든 버킷, 생성 날짜, Amazon 리소스 이름(ARN) 및 별칭이 나열됩니다. AWS 계정 ID 열에는 다중 리전 액세스 포인트와 연결된 외부 계정이 소유한 모든 버킷도 나열됩니다.
+ **권한** 탭에는 이 다중 리전 액세스 포인트와 연결된 버킷에 적용되는 퍼블릭 액세스 차단 설정이 나열됩니다. 다중 리전 액세스 포인트를 생성한 경우 해당 다중 리전 액세스 포인트에 대한 다중 리전 액세스 포인트 정책도 볼 수 있습니다. **권한** 페이지의 **정보** 알림에는 이 다중 리전 액세스 포인트에서 **퍼블릭 액세스가 차단됨** 설정이 활성화된 모든 버킷(사용자 계정 및 기타 계정의 버킷)도 나열됩니다.
+ **복제 및 장애 조치** 탭에서는 다중 리전 액세스 포인트와 연결된 버킷과 해당 버킷이 있는 리전의 맵 보기를 제공합니다. 데이터를 가져올 권한이 없는 다른 계정의 버킷이 있는 경우 **복제 요약**약 맵에 리전이 빨간색으로 표시되어 **복제 상태를 가져오는 중 오류가 발생한 AWS 리전**을 나타냅니다.
**참고**
외부 계정의 버킷에서 복제 상태 정보를 검색하려면 버킷 소유자가 버킷 정책에서 `s3:GetBucketReplication` 권한을 부여해야 합니다.
이 탭은 또한 다중 리전 액세스 포인트와 함께 사용되는 리전에 대한 복제 지표, 복제 규칙 및 장애 조치 상태를 제공합니다.
## AWS CLI 사용
AWS CLI를 사용하여 다중 리전 액세스 포인트의 구성 세부 정보를 볼 수 있습니다.
다음 AWS CLI 예시 명령은 현재 다중 리전 액세스 포인트 구성을 가져옵니다. 이 예 명령을 사용하려면 `user input placeholders`를 실제 정보로 대체하세요.
```
aws s3control get-multi-region-access-point --account-id 111122223333 --name amzn-s3-demo-bucket
```
# 다중 리전 액세스 포인트 삭제
다음 절차는 Amazon S3 콘솔을 사용하여 다중 리전 액세스 포인트를 삭제하는 방법을 보여줍니다. 다중 리전 액세스 포인트를 삭제해도 다중 리전 액세스 포인트와 연결된 버킷은 삭제되지 않습니다. 대신 다중 리전 액세스 포인트 자체만 삭제합니다.
**참고**
AWS 옵트인 리전에서 버킷을 사용하는 S3 다중 리전 Access Points는 현재 AWS SDKs 및 AWS CLI를 통해서만 지원됩니다. 옵트인 리전의 버킷을 사용하여 다중 리전 액세스 포인트를 삭제하려면 계정에서 먼저 사용할 수 있는 AWS옵트인 리전을 지정해야 합니다. 그렇지 않으면 비활성화된 AWS옵트인 리전의 버킷을 사용하는 다중 리전 액세스 포인트를 삭제하려고 하면 오류가 발생합니다.
## S3 콘솔 사용
**다중 리전 액세스 포인트를 삭제하는 방법**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **다중 리전 액세스 포인트)**를 선택합니다.
1. 다중 리전 액세스 포인트 이름 옆에 있는 옵션 버튼을 선택합니다.
1. **삭제**를 선택합니다.
1. **다중 리전 액세스 포인트 삭제** 대화 상자에서 삭제하려는 AWS 버킷의 이름을 입력합니다.
**참고**
유효한 버킷 이름을 입력해야 합니다. 그러지 않으면 **삭제** 버튼이 비활성화됩니다.
1. 다중 리전 액세스 포인트의 삭제를 확인하려면 **삭제**를 선택합니다.
## AWS CLI 사용
AWS CLI를 사용하여 다중 리전 액세스 포인트를 삭제할 수 있습니다. 이 작업은 다중 리전 액세스 포인트와 연결된 버킷은 삭제하지 않으며 다중 리전 액세스 포인트 자체만 삭제합니다. 이 예시 명령을 사용하려면 `user input placeholders`를 실제 정보로 대체하십시오.
```
aws s3control delete-multi-region-access-point --account-id 123456789012 --details Name=example-multi-region-access-point-name
```