# 2단계: S3 Express One Zone 디렉터리 버킷 생성 1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다. 1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 버킷을 생성하려는 리전을 선택합니다. **참고** 지연 시간과 요금을 최소화하고 규제 요건을 충족하려면 가장 가까운 리전을 선택하십시오. 특정 리전에 저장된 객체는 사용자가 명시적으로 객체를 다른 리전으로 전송하지 않는 한 해당 리전을 벗어나지 않습니다. Amazon S3 AWS 리전 목록은 **Amazon Web Services 일반 참조의 [AWS 서비스 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region)를 참조하십시오. 1. 왼쪽 탐색 창에서 **디렉터리 버킷**을 선택합니다. 1. **버킷 만들기**를 선택합니다. **버킷 만들기** 페이지가 열립니다. 1. **일반 구성**에서 버킷이 생성될 AWS 리전을 확인합니다. **버킷 유형**에서 **디렉터리**를 선택합니다. **참고** 디렉터리 버킷을 지원하지 않는 리전을 선택한 경우 **버킷 유형** 옵션이 사라지고 버킷 유형이 범용 버킷으로 기본 설정됩니다. 디렉터리 버킷을 생성하려면 지원되는 리전을 선택해야 합니다. 지원 디렉터리 버킷 및 Amazon S3 Express One Zone 스토리지 클래스를 지원하는 리전 목록은 [S3 Express One Zone 가용 영역 및 리전](s3-express-Endpoints.md) 섹션을 참조하세요. 버킷을 생성한 후에는 버킷 유형을 변경할 수 없습니다. **참고** 버킷 생성 후에는 가용 영역을 변경할 수 없습니다. 1. **가용 영역**의 경우 컴퓨팅 서비스의 로컬 가용 영역을 선택합니다. 지원 디렉터리 버킷 및 S3 Express One Zone 스토리지 클래스를 지원하는 가용 영역의 목록은 [S3 Express One Zone 가용 영역 및 리전](s3-express-Endpoints.md) 섹션을 참조하세요. **가용 영역**에서 확인란을 선택하여 가용 영역 중단 시 데이터를 사용할 수 없거나 데이터가 손실될 수 있음을 확인합니다. **중요** 디렉터리 버킷은 단일 가용 영역 내의 여러 디바이스에 걸쳐 저장되지만, 디렉터리 버킷은 가용 영역 간에 데이터를 중복으로 저장하지는 않습니다. 1. **버킷 이름**에서 디렉터리 버킷 이름을 입력합니다. 디렉터리 버킷에는 다음 이름 지정 규칙이 적용됩니다. + 선택한 영역(AWS 가용 영역 또는 AWS 로컬 영역) 내에서 고유해야 합니다. + 이름은 최소 3자에서 최대 63자 사이여야 합니다(접미사 포함). + 소문자, 숫자, 하이픈(-)으로만 구성해야 합니다. + 문자나 숫자로 시작하고 끝나야 합니다. + `--{{zone-id}}--x-s3`을 접미사로 포함해야 합니다. + 버킷 이름은 접두사 `xn--`로 시작해서는 안됩니다. + 버킷 이름은 접두사 `sthree-`로 시작해서는 안됩니다. + 버킷 이름은 접두사 `sthree-configurator`로 시작해서는 안됩니다. + 버킷 이름은 접두사 ` amzn-s3-demo-`로 시작해서는 안됩니다. + 버킷 이름은 접미사 `-s3alias`로 끝나서는 안됩니다. 이 접미사는 액세스 포인트 별칭 이름 용도로 예약되어 있습니다. 자세한 내용은 [액세스 포인트 별칭](access-points-naming.md#access-points-alias) 섹션을 참조하세요. + 버킷 이름은 접미사 `--ol-s3`로 끝나서는 안됩니다. 이 접미사는 객체 Lambda 액세스 포인트 별칭 이름 용도로 예약되어 있습니다. 자세한 내용은 [S3 버킷 객체 Lambda 액세스 포인트에 버킷 스타일 별칭을 사용하는 방법](olap-use.md#ol-access-points-alias) 섹션을 참조하세요. + 버킷 이름은 접미사 `.mrap`로 끝나서는 안됩니다. 이 접미사는 다중 리전 액세스 포인트 이름 용도로 예약되어 있습니다. 자세한 내용은 [Amazon S3 다중 리전 액세스 포인트 이름 지정 규칙](multi-region-access-point-naming.md) 섹션을 참조하세요. 콘솔을 사용하여 디렉터리 버킷을 생성하면 제공하는 기본 이름에 접미사가 자동으로 추가됩니다. 이 접미사에는 선택한 가용 영역의 가용 영역 ID가 포함됩니다. 버킷을 생성한 후에는 해당 이름을 변경할 수 없습니다. 버킷 이름 지정에 대한 자세한 내용은 [범용 버킷 이름 지정 규칙](bucketnamingrules.md) 섹션을 참조하십시오. **중요** 버킷 이름에 계정 번호와 같은 중요한 정보를 포함하지 마세요. 버킷 이름은 버킷의 객체를 가리키는 URL에 표시됩니다. 1. **객체 소유권**에서 **버킷 소유자 적용** 설정이 자동으로 활성화되고 모든 액세스 제어 목록(ACL)이 비활성화됩니다. 디렉터리 버킷의 경우 ACL을 활성화할 수 없습니다. **버킷 소유자 적용(기본값)** – ACL이 비활성화되고 버킷 소유자는 범용 버킷의 모든 객체를 자동으로 소유하고 완전히 제어합니다. ACL은 더 이상 S3 범용 버킷의 데이터에 대한 권한에 영향을 주지 않습니다. 버킷은 정책을 독점적으로 사용하여 액세스 제어를 정의합니다. 1. **이 버킷의 퍼블릭 액세스 차단 설정**에서 디렉터리 버킷의 퍼블릭 액세스 차단 설정이 자동으로 활성화됩니다. 디렉터리 버킷의 경우 이 설정을 수정할 수 없습니다. 퍼블릭 액세스 차단에 대한 자세한 내용은 [Amazon S3 스토리지에 대한 퍼블릭 액세스 차단](access-control-block-public-access.md) 섹션을 참조하십시오. 1. 기본 암호화를 구성하려면 **암호화 유형** 아래에서 다음 중 하나를 선택합니다. + **Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)** + **AWS Key Management Service 키를 사용한 서버 측 암호화(SSE-KMS)** Amazon S3 서버 측 암호화를 사용하는 데이터 암호화에 대한 자세한 내용은 [데이터 보호 및 암호화](s3-express-data-protection.md) 섹션을 참조하십시오. **중요** 기본 암호화 구성에 대해 SSE-KMS 옵션을 사용할 경우 AWS KMS의 초당 요청 수(RPS) 제한이 적용됩니다. AWS KMS 할당량과 할당량 증대를 요청하는 방법에 대한 자세한 내용은 **AWS Key Management Service 개발자 안내서의 [할당량](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html)을 참조하십시오. 기본 암호화를 활성화할 때 버킷 정책을 업데이트해야 할 수 있습니다. 자세한 내용은 [크로스 계정 작업에 SSE-KMS 암호화 사용](bucket-encryption.md#bucket-encryption-update-bucket-policy) 섹션을 참조하세요. 1. **Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)**를 선택한 경우 **버킷 키** 아래에 **활성화됨**이 나타납니다. SSE-S3를 통한 기본 암호화를 사용하도록 디렉터리 버킷을 구성할 때 S3 버킷 키는 항상 활성화됩니다. S3 버킷 키는 디렉터리 버킷의 `GET` 및 `PUT` 작업에 대해 항상 활성화되며 비활성화할 수 없습니다. [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [배치 운영의 Copy 작업](directory-buckets-objects-Batch-Ops.md) 또는 [import 작업](create-import-job.md)을 통해 SSE-KMS로 암호화된 객체를 범용 버킷에서 디렉터리 버킷으로, 디렉터리 버킷에서 범용 버킷으로 또는 디렉터리 버킷 간에 복사하는 경우 S3 버킷 키는 지원되지 않습니다. 이 경우 Amazon S3는 KMS 암호화 개체에 대한 사본 요청이 있을 때마다 AWS KMS를 직접적으로 호출합니다. S3 버킷 키를 사용하면 Amazon S3에서 AWS KMS로의 요청 트래픽이 줄어 암호화 비용이 절감됩니다. 자세한 내용은 [Amazon S3 버킷 키를 사용하여 SSE-KMS 비용 절감](bucket-key.md) 섹션을 참조하세요. 1. **AWS Key Management Service 키를 사용한 서버 측 암호화(SSE-KMS)**를 선택한 경우 **AWS KMS 키**에서 다음 방법 중 하나로 AWS Key Management Service 키를 지정하거나 새 키를 생성합니다. + 사용 가능한 KMS 키 목록에서 중에서 선택하려면 **AWS KMS keys에서 선택**을 선택하고 **사용 가능한 AWS KMS keys**에서 **KMS 키**를 선택합니다. 고객 관리형 키만 이 목록에 표시됩니다. AWS 관리형 키(`aws/s3`)는 디렉터리 버킷에서 지원되지 않습니다. 고객 관리형 키에 대한 자세한 내용은 *AWS Key Management Service* 개발자 안내서의 [ 고객 키 및 AWS 키](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)를 참조하십시오. + KMS 키 ARN 또는 별칭을 입력하려면 **AWS KMS key ARN 입력**을 선택하고 KMS 키 ARN 또는 별칭을 **AWS KMS key ARN**에 입력합니다. + AWS KMS 콘솔에서 고객 관리형 키를 생성하려면 **KMS 키 생성**을 선택합니다. AWS KMS key 생성에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [키 생성](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html)을 참조하십시오. **중요** SSE-KMS 구성은 버킷 수명 기간 동안 디렉터리 버킷당 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) 1개만 지원할 수 있습니다. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)(`aws/s3`)는 지원되지 않습니다. 또한, SSE-KMS에 고객 관리형 키를 지정한 후에는 버킷의 SSE-KMS 구성을 위한 고객 관리형 키를 재정의할 수 없습니다. 다음과 같은 방법으로 버킷의 SSE-KMS 구성에 대해 지정한 고객 관리형 키를 식별할 수 있습니다. 응답에서 `x-amz-server-side-encryption-aws-kms-key-id`의 값을 찾기 위해 `HeadObject` API 작업을 요청합니다. 데이터에 새 고객 관리형 키를 사용하려면 최신 고객 관리형 키가 있는 새 디렉터리 버킷에 기존 객체를 복사하는 것이 좋습니다. 버킷과 동일한 AWS 리전에서 사용할 수 있는 KMS 키만 사용 가능합니다. Amazon S3 콘솔은 버킷과 동일한 리전에 있는 처음 100개의 KMS 키만 나열합니다. 목록에 없는 KMS 키를 사용하려면 KMS 키 ARN을 입력해야 합니다. 다른 계정에서 소유한 KMS 키를 사용하려면 먼저 해당 키에 대한 사용 권한이 있어야 하고, 다음 단계로 KMS 키 ARN을 입력해야 합니다. KMS 키의 크로스 계정 권한에 대한 자세한 내용은 **AWS Key Management Service 개발자 안내서에서 [다른 계정에서 사용할 수 있는 KMS 키 만들기](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console)를 참조하십시오. SSE-KMS에 대한 자세한 내용은 [디렉터리 버킷의 새 객체 업로드에 AWS KMS(SSE-KMS)를 사용한 서버 측 암호화 지정](s3-express-specifying-kms-encryption.md) 섹션을 참조하십시오. 디렉터리 버킷에서 서버 측 암호화에 AWS KMS key를 사용하는 경우 대칭 암호화 KMS 키를 선택해야 합니다. Amazon S3는 대칭 암호화 KMS 키만 지원하며 비대칭 KMS 키는 지원하지 않습니다. 자세한 내용은 **AWS Key Management Service 개발자 안내서에서 [대칭 및 비대칭 KMS 키 식별](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html)을 참조하십시오. Amazon S3에서 AWS KMS을(를) 사용하는 방법에 대한 자세한 내용은 [디렉터리 버킷에서 AWS KMS 키(SSE-KMS)를 사용한 서버 측 암호화 사용](s3-express-UsingKMSEncryption.md) 단원을 참조하십시오. 1. **버킷 생성**을 선택합니다. 버킷을 생성한 후 버킷에 파일 및 폴더를 추가할 수 있습니다. 자세한 내용은 [디렉터리 버킷의 객체 작업](directory-buckets-objects.md) 섹션을 참조하세요.