S3 Access Grants 인스턴스 생성 - Amazon Simple Storage Service

S3 Access Grants 인스턴스 생성

AmazonS3 Access Grants 사용을 시작하려면 먼저 S3 Access Grants 인스턴스를 생성해야 합니다. 계정당 AWS 리전별로 S3 Access Grants 인스턴스를 하나만 생성할 수 있습니다. S3 Access Grants 인스턴스는 등록된 위치 및 권한 부여를 포함하는 S3 Access Grants 리소스의 컨테이너 역할을 합니다.

S3 Access Grants를 사용하면 AWS Identity and Access Management(IAM) 사용자 및 역할에 대한 S3 데이터에 권한 부여를 생성할 수 있습니다. AWS IAM Identity Center에 기업 ID 디렉터리를 추가한 경우 기업 디렉터리의 이 IAM Identity Center 인스턴스를 S3 Access Grants 인스턴스와 연결할 수 있습니다. 이렇게 하면 기업 사용자 및 그룹에 대한 액세스 권한 부여를 생성할 수 있습니다. 아직 기업 디렉터리를 IAM Identity Center에 추가하지 않은 경우 나중에 S3 Access Grants 인스턴스를 IAM Identity Center 인스턴스와 연결할 수 있습니다.

Amazon S3 콘솔, AWS Command Line Interface(AWS CLI), Amazon S3 REST API, AWS SDK를 사용하여 S3 Access Grants 인스턴스를 생성할 수 있습니다.

S3 Access Grants를 사용하여 S3 데이터에 대한 액세스 권한을 부여하려면 먼저 S3 데이터와 동일한 AWS 리전에 S3 Access Grants 인스턴스를 생성해야 합니다.

사전 조건

기업 디렉터리의 ID를 사용하여 S3 데이터에 대한 액세스 권한을 부여하려면 기업 ID 디렉터리를 AWS IAM Identity Center에 추가하세요. 아직 준비가 되지 않은 경우 나중에 S3 Access Grants 인스턴스를 IAM Identity Center 인스턴스와 연결할 수 있습니다.

S3 Access Grants 인스턴스를 생성하는 방법

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 전환하려는 리전을 선택합니다.

  3. 왼쪽 탐색 창에서 Access Grants를 선택합니다.

  4. S3 Access Grants 페이지에서 S3 Access Grants 인스턴스 생성을 선택합니다.

    1. Access Grants 인스턴스 설정 마법사의 1단계에서 현재 AWS 리전에 인스턴스를 생성할 것인지 확인합니다. S3 데이터와 동일한 AWS 리전인지 확인하세요. 계정당 AWS 리전별로 S3 Access Grants 인스턴스를 하나 생성할 수 있습니다.

    2. (선택 사항) AWS IAM Identity Center에 기업 ID 디렉터리를 추가한 경우 기업 디렉터리의 이 IAM Identity Center 인스턴스를 S3 Access Grants 인스턴스와 연결할 수 있습니다.

      이렇게 하려면 리전에 IAM Identity Center 인스턴스 추가를 선택합니다. 그런 다음 IAM Identity Center 인스턴스 Amazon 리소스 이름(ARN)을 입력합니다.

      아직 기업 디렉터리를 IAM Identity Center에 추가하지 않은 경우 나중에 S3 Access Grants 인스턴스를 IAM Identity Center 인스턴스와 연결할 수 있습니다.

    3. S3 Access Grants 인스턴스를 생성하려면 다음을 선택합니다. 위치를 등록하려면 2단계 - 위치 등록을 참조하세요.

  5. 다음 또는 S3 Access Grants 인스턴스 생성이 비활성화된 경우:

    인스턴스를 생성할 수 없음

    • 동일한 AWS 리전에 이미 S3 Access Grants 인스턴스가 있을 수 있습니다. 왼쪽 탐색 창에서 Access Grants를 선택합니다. S3 Access Grants 페이지에서 계정의 S3 Access Grants 인스턴스 섹션까지 아래로 스크롤하여 인스턴스가 이미 존재하는지 확인합니다.

    • S3 Access Grants 인스턴스를 생성하는 데 필요한 s3:CreateAccessGrantsInstance 권한이 없을 수도 있습니다. 계정 관리자에게 문의하세요. IAM Identity Center 인스턴스를 S3 Access Grants 인스턴스와 연결하는 데 필요한 추가 권한은 CreateAccessGrantsInstance 섹션을 참조하세요.

AWS CLI를 설치하려면 AWS Command Line Interface 사용 설명서AWS CLI 설치를 참조하세요.

다음 예시 명령을 사용하려면 user input placeholders를 실제 정보로 대체하세요.

예 S3 Access Grants 인스턴스 생성 
aws s3control create-access-grants-instance \
--account-id 111122223333 \
--region us-east-2

응답:

{
    "CreatedAt": "2023-05-31T17:54:07.893000+00:00",
    "AccessGrantsInstanceId": "default",
    "AccessGrantsInstanceArn": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}

Amazon S3 REST API를 사용하여 S3 Access Grants 인스턴스를 생성할 수 있습니다. S3 Access Grants 인스턴스 관리를 위한 REST API 지원에 대한 자세한 내용은 Amazon Simple Storage Service API 참조의 다음 섹션을 참조하세요.

이 섹션에서는 AWS SDK를 사용하여 S3 Access Grants 인스턴스를 생성하는 방법의 예시를 보여줍니다.

Java

이 예시에서는 개별 액세스 권한 부여의 컨테이너 역할을 하는 S3 Access Grants 인스턴스를 생성합니다. 계정에서 AWS 리전당 S3 Access Grants 인스턴스를 하나 보유할 수 있습니다. 응답에는 S3 Access Grants 인스턴스에 대해 생성된 인스턴스 ID default 및 Amazon 리소스 이름(ARN)이 포함됩니다.

예 S3 Access Grants 인스턴스 요청 생성
public void createAccessGrantsInstance() {
CreateAccessGrantsInstanceRequest createRequest = CreateAccessGrantsInstanceRequest.builder().accountId("111122223333").build();
CreateAccessGrantsInstanceResponse createResponse = s3Control.createAccessGrantsInstance(createRequest);LOGGER.info("CreateAccessGrantsInstanceResponse: " + createResponse);
}

응답:

CreateAccessGrantsInstanceResponse(
CreatedAt=2023-06-07T01:46:20.507Z,
AccessGrantsInstanceId=default,
AccessGrantsInstanceArn=arn:aws:s3:us-east-2:111122223333:access-grants/default)