S3 Access Grants를 통한 액세스 관리 - Amazon Simple Storage Service

S3 Access Grants를 통한 액세스 관리

최소 권한 원칙을 준수하려면 애플리케이션, 페르소나, 그룹 또는 조직 단위를 기반으로 Amazon S3 데이터에 대한 세분화된 액세스를 정의합니다. 액세스 패턴의 규모와 복잡성에 따라 다양한 접근 방식을 사용하여 Amazon S3의 데이터에 세분화된 액세스를 달성할 수 있습니다.

Amazon S3의 중소 규모 데이터 세트에 대한 액세스를 AWS Identity and Access Management(IAM) 보안 주체를 통해 관리하는 가장 간단한 방법은 IAM 권한 정책S3 버킷 정책을 정의하는 것입니다. 이 전략은 필요한 정책이 S3 버킷 정책 및 IAM 정책의 정책 크기 제한(각각 20KB, 5KB)과 계정당 허용되는 IAM 보안 주체 수를 준수하는 경우 효과가 있습니다.

데이터 세트와 사용 사례 수가 늘어남에 따라 더 많은 정책 공간이 필요할 수 있습니다. 정책 설명에 훨씬 더 많은 공간을 제공하는 접근 방식은 S3 액세스 포인트를 S3 버킷의 추가 엔드포인트로 사용하는 것입니다. 각 액세스 포인트는 자체 정책을 가질 수 있기 때문입니다. 계정당 AWS 리전별로 수천 개의 액세스 포인트를 보유할 수 있고 각 액세스 포인트에 대해 최대 20KB의 정책을 적용할 수 있으므로 매우 세분화된 액세스 제어 패턴을 정의할 수 있습니다. S3 액세스 포인트가 사용 가능한 정책 공간을 늘리긴 하지만, 이를 위해서는 클라이언트가 올바른 데이터 세트에 적합한 액세스 포인트를 검색할 수 있는 메커니즘이 필요합니다.

세 번째 접근 방식은 IAM 세션 브로커 패턴을 구현하는 것입니다. 이 패턴에서는 액세스 결정 로직을 구현하고 각 액세스 세션에 대해 단기 IAM 세션 보안 인증 정보를 동적으로 생성합니다. IAM 세션 브로커 접근 방식은 임의적인 동적 권한 패턴을 지원하고 효과적으로 확장할 수 있지만 액세스 패턴 로직을 구축해야 합니다.

이러한 접근 방식을 사용하는 대신 S3 Access Grants를 사용하여 Amazon S3 데이터에 대한 액세스를 관리할 수 있습니다. S3 Access Grants는 Amazon S3의 데이터에 대한 액세스 권한을 접두사, 버킷 또는 객체별로 정의하는 간소화된 모델을 제공합니다. 또한 S3 Access Grants를 사용하여 IAM 보안 주체 모두에 액세스 권한을 부여하거나 기업 디렉터리의 사용자 또는 그룹에 직접 액세스 권한을 부여할 수 있습니다.

일반적으로 사용자와 그룹을 데이터 세트에 매핑하여 Amazon S3의 데이터에 대한 권한을 정의합니다. S3 Access Grants를 사용하여 Amazon S3 버킷 및 객체 내의 사용자 및 역할에 대한 S3 접두사의 직접 액세스 매핑을 정의할 수 있습니다. S3 Access Grants의 간소화된 액세스 체계를 사용하면 S3 접두사별로 읽기 전용, 쓰기 전용 또는 읽기-쓰기 액세스 권한을 IAM 보안 주체 모두에 부여하고 기업 디렉터리에서 사용자 또는 그룹에 직접 부여할 수 있습니다. 이러한 S3 Access Grants 기능을 사용하면 애플리케이션이 현재 인증된 애플리케이션 사용자를 대신하여 Amazon S3에 데이터를 요청할 수 있습니다.

S3 Access Grants를 AWS IAM Identity Center의 신뢰할 수 있는 ID 전파 기능과 통합하면 애플리케이션은 인증된 기업 디렉터리 사용자를 대신하여 AWS 서비스(S3 Access Grants 포함)에 직접 요청을 보낼 수 있습니다. 애플리케이션은 더 이상 사용자를 IAM 보안 주체에 먼저 매핑할 필요가 없습니다. 또한 최종 사용자 ID가 Amazon S3까지 전파되므로 어떤 사용자가 어떤 S3 객체에 액세스했는지 감사하는 작업이 간소화됩니다. 더 이상 서로 다른 사용자와 IAM 세션 간의 관계를 재구성할 필요가 없습니다. IAM Identity Center의 신뢰할 수 있는 ID 전파와 함께 S3 Access Grants를 사용하는 경우, Amazon S3의 각 AWS CloudTrail 데이터 이벤트는 대신 데이터에 액세스된 최종 사용자에 대한 직접 참조를 포함합니다.

S3 Access Grants에 대한 자세한 내용은 다음 주제를 참조하세요.

주제