Amazon S3: 특정 S3 버킷으로 관리 제한 - AWS Identity and Access Management

Amazon S3: 특정 S3 버킷으로 관리 제한

이 예제는 Amazon S3 버킷의 관리를 해당 특정 버킷으로 제한하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 이 정책은 모든 Amazon S3 작업을 수행할 수 있는 권한을 부여하지만 Amazon S3를 제외한 모든 AWS 서비스에 대한 액세스는 거부합니다. 다음 예를 참조하세요. 이 정책에 따르면 S3 버킷 또는 S3 객체 리소스에 대해 수행할 수 있는 Amazon S3 작업에만 액세스할 수 있습니다. 이 정책은 AWS API 또는 AWS CLI에서 이러한 작업을 프로그래밍 방식으로 완료하는 데 필요한 권한을 부여합니다. 이 정책을 사용하려면 정책 예제의 기울임꼴 자리 표시자 텍스트를 본인의 정보로 대체합니다. 그런 다음 정책 생성 또는 정책 편집의 지침을 따릅니다.

이 정책을 이 정책에서 거부하는 작업을 허용하는 다른 정책(예: AmazonS3FullAccess 또는 AmazonEC2FullAccess AWS 관리형 정책)과 조합하여 사용하는 경우 액세스가 거부됩니다. 이는 명시적 거부문이 허용문보다 우선 적용되기 때문입니다. 자세한 내용은 AWS 적용 코드 로직이 액세스 허용 또는 거부 요청을 평가하는 방법 단원을 참조하십시오.

주의

NotActionNotResource는 신중히 사용해야 하는 고급 정책 요소입니다. 이 정책에서는 Amazon S3를 제외한 모든 AWS 서비스에 대한 액세스를 거부합니다. 이 정책을 사용자에게 연결할 경우 다른 서비스에 대한 권한을 부여하는 다른 정책은 무시되거나 액세스가 거부됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::bucket-name",
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
}