S3 Access Grants 시작하기
Amazon S3 Access Grants는 S3 데이터에 대한 확장 가능한 액세스 제어 솔루션을 제공하는 Amazon S3 기능입니다. S3 Access Grants는 S3 보안 인증 정보의 벤더입니다. 즉, S3 Access Grants에 권한 부여 목록 및 수준을 등록하게 됩니다. 이후 사용자나 클라이언트가 S3 데이터에 액세스해야 하는 경우 먼저 S3 Access Grants에 보안 인증 정보를 요청합니다. 액세스를 승인하는 권한 부여가 있는 경우, S3 Access Grants는 최소 권한의 임시 액세스 보안 인증 정보를 제공합니다. 그러면 사용자 또는 클라이언트가 S3 Access Grants에서 제공한 보안 인증 정보를 사용하여 S3 데이터에 액세스할 수 있습니다. 이를 염두에 두고 S3 데이터 요구 사항에 복잡하거나 규모가 큰 권한 구성이 필요한 경우 S3 Access Grants를 사용하여 사용자, 그룹, 역할 및 애플리케이션을 위한 S3 데이터 권한을 확장할 수 있습니다.
대부분의 사용 사례에서는 AWS Identity and Access Management(IAM) 버킷 정책 또는 IAM ID 기반 정책을 사용하여 S3 데이터에 대한 액세스 제어를 관리할 수 있습니다.
하지만 다음과 같이 복잡한 S3 액세스 제어 요구 사항이 있는 경우 S3 Access Grants를 사용하면 큰 이점을 얻을 수 있습니다.
20KB의 버킷 정책 크기 한도에 도달한 경우
분석 및 빅 데이터를 위해 예컨대 사람 ID, Microsoft Entra ID(구 Azure Active Directory), Okta 또는 Ping 사용자 및 그룹에 S3 데이터에 대한 액세스 권한을 부여하는 경우
IAM 정책을 자주 업데이트하지 않고도 크로스 계정 액세스를 제공해야 하는 경우
데이터가 행 및 열 형식의 정형 데이터가 아닌 객체 수준의 비정형 데이터인 경우
S3 Access Grants 워크플로는 다음과 같습니다.
단계 | 설명 |
---|---|
1 | S3 Access Grants 인스턴스 생성 시작하려면 개별 액세스 권한을 포함할 S3 Access Grants 인스턴스를 시작합니다. |
2 | 위치 등록 다음으로, S3 데이터 위치(예: 기본값 |
3 | 권한 부여 생성 개별 권한 부여를 생성합니다. 이러한 권한 부여에 등록된 S3 위치, 위치 내 데이터 액세스 범위, 피부여자의 ID, 피부여자의 액세스 수준( |
4 | S3 데이터에 대한 액세스 요청 사용자, 애플리케이션 및 AWS 서비스에서 S3 데이터에 액세스하려는 경우 먼저 액세스를 요청합니다. S3 Access Grants는 요청을 승인해야 하는지를 결정합니다. 액세스를 승인하는 권한 부여가 있는 경우 S3 Access Grants는 해당 권한 부여와 연결된 등록 위치의 IAM 역할을 사용하여 요청자에게 임시 보안 인증 정보를 다시 제공합니다. |
5 | S3 데이터에 액세스 애플리케이션이 S3 Access Grants에서 제공하는 임시 보안 인증 정보를 사용하여 S3 데이터에 액세스합니다. |