기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Compute Optimizer용 Amazon S3 버킷 정책
Compute Optimizer 권장 사항을 Amazon Simple Storage Service(S3) 버킷으로 내보낼 수 있습니다. 권장 사항은 CSV 파일로 내보내고 메타데이터는 JSON 파일로 내보냅니다. 자세한 정보는 권장 사항 내보내기을 참조하세요.
내보내기 작업을 생성하기 전에 권장 사항 내보내기를 위한 대상 S3 버킷을 생성해야 합니다. Compute Optimizer는 S3 버킷을 자동으로 생성하지 않습니다. 권장 사항 내보내기용으로 지정하는 S3 버킷은 공개적으로 액세스할 수 없어야 하며 요청자 지불 버킷으로 구성할 수 없습니다. 보안 모범 사례로 Compute Optimizer 내보내기 파일 전용 S3 버킷을 생성합니다. 자세한 내용은 Amazon S3 콘솔 사용 설명서의 S3 버킷을 생성하려면 어떻게 해야 합니까?를 참조하세요.
권장 사항 내보내기에 기존 버킷 지정
S3 버킷을 생성한 후 다음 단계에 따라 Compute Optimizer가 권장 사항 내보내기 파일을 버킷에 작성하도록 허용하는 정책을 S3 버킷에 추가합니다.
https://console.aws.amazon.com/s3/
에서 S3 콘솔을 엽니다. -
Compute Optimizer가 내보내기 파일을 전송할 버킷을 선택합니다.
-
Permissions를 선택합니다.
-
[Bucket Policy]를 선택합니다.
-
다음 정책 중 하나를 복사하여 버킷 정책 편집기 텍스트 상자에 붙여넣습니다.
-
정책에서 다음 자리 표시자 텍스트를 바꿉니다.
-
버킷
myBucketName이름으로 바꾸십시오. -
optionalPrefix를 선택적 객체 접두사로 바꿉니다. -
myRegion을 소스 AWS 리전으로 바꿉니다. -
myAccountID를 내보내기 작업 요청자의 계정 번호로 바꿉니다.
-
-
정책에 다음 세 명령문을 모두 포함시킵니다.
-
첫 번째 명령문(
GetBucketAcl작업)을 사용하면 Compute Optimizer가 버킷의 액세스 제어 목록(ACL)을 가져올 수 있습니다. -
두 번째 명령문(
GetBucketPolicyStatus작업)을 사용하면 Compute Optimizer가 버킷의 정책 상태를 가져와 버킷이 퍼블릭인지 여부를 확인할 수 있습니다. -
세 번째 명령문(
PutObject작업)은 Compute Optimizer에 내보내기 파일을 버킷에 넣을 수 있는 모든 권한을 부여합니다.
이러한 명령문이 누락되거나 정책의 버킷 이름 및 선택적 객체 접두사가 내보내기 요청에서 지정한 것과 일치하지 않는 경우 내보내기 요청이 실패합니다. 정책의 계정 번호가 내보내기 작업 요청자의 계정 번호와 일치하지 않는 경우에도 내보내기가 실패합니다.
참고
기존 버킷에 하나 이상의 정책이 이미 연결되어 있는 경우 Compute Optimizer 액세스용 명령문을 해당 정책에 추가합니다. 발생한 권한 세트를 평가해 버킷에 액세스하는 사용자에게 적절한지 확인합니다.
-
정책 옵션 1: 선택적 접두사 사용
객체 접두사는 S3 버킷에서 내보내기 파일을 구성하는 S3 객체 키에 선택적으로 추가할 수 있습니다. 권장 사항 내보내기를 생성할 때 객체 접두사를 지정하려면 다음 정책을 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketPolicyStatus", "Resource": "arn:aws:s3:::myBucketName" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/optionalPrefix/compute-optimizer/myAccountID/*", "Condition": {"StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } } ] }
참고
compute-optimizer/myAccountID/ 구성 요소는 선택적 접두사에 포함되지 않습니다. Compute Optimizer는 지정한 접두사에 추가되는 버킷 경로의 optimizer/myAccountID/ 부분을 자동으로 생성합니다.
정책 옵션 2: 객체 접두사 없음
객체 접두사를 지정하지 않으려면 다음 정책을 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:GetBucketPolicyStatus", "Resource": "arn:aws:s3:::myBucketName" }, { "Effect": "Allow", "Principal": {"Service": "compute-optimizer.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/compute-optimizer/myAccountID/*", "Condition": {"StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } } ] }
권장 사항 내보내기에 암호화된 S3 버킷 사용
Compute Optimizer 권장 사항 내보내기의 대상으로 Amazon S3 고객 관리 키 또는 AWS Key Management Service (KMS) 키로 암호화된 S3 버킷을 지정할 수 있습니다.
AWS KMS 암호화가 활성화된 S3 버킷을 사용하려면 대칭 KMS 키를 생성해야 합니다. 대칭 KMS 키는 Amazon S3가 지원하는 유일한 KMS 키입니다. 지침은 AWS KMS 개발자 안내서의 키 생성을 참조하세요. KMS 키를 생성한 후 권장 사항 내보내기에 사용할 S3 버킷에 적용합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 기본 버킷 암호화 활성화를 참조하세요.
Compute Optimizer에 KMS 키를 사용하는 데 필요한 권한을 부여하려면 다음 절차를 사용합니다. 이 권한은 권장 사항 내보내기 파일을 암호화된 S3 버킷에 저장할 때 파일을 암호화하는 용도로만 사용됩니다.
-
https://console.aws.amazon.com/kms 에서 AWS KMS 콘솔을 엽니다.
-
를 변경하려면 페이지 오른쪽 상단의 지역 선택기를 사용하십시오. AWS 리전
-
왼쪽 탐색 메뉴에서 고객 관리형 키를 선택합니다.
참고
AWS 관리 키로 암호화된 S3 버킷에 대해서는 Compute Optimizer 권장 사항 내보내기가 허용되지 않습니다.
-
내보내기 S3 버킷을 암호화하는 데 사용한 KMS 키의 이름을 선택합니다.
-
키 정책 탭에서 정책 보기로 전환을 선택합니다.
-
편집을 선택하여 키 정책을 편집합니다.
-
다음 정책 중 하나를 복사하여 키 정책의 명령문 섹션에 붙여넣습니다.
-
정책에서 다음 자리 표시자 텍스트를 바꿉니다.
-
myRegion을 소스 AWS 리전으로 바꿉니다. -
myAccountID를 내보내기 요청자의 계정 번호로 바꿉니다.
이
GenerateDataKey명령문을 통해 Compute AWS KMS Optimizer는 API를 호출하여 추천 파일을 암호화하는 데 필요한 데이터 키를 얻을 수 있습니다. 이렇게 하면 업로드된 데이터 형식이 버킷 암호화 설정을 수용할 수 있습니다. 그렇지 않으면 Amazon S3가 내보내기 요청을 거부합니다.참고
기존 KMS 키에 하나 이상의 정책이 이미 연결되어 있는 경우 Compute Optimizer 액세스용 명령문을 해당 정책에 추가합니다. 발생한 권한 세트를 평가해 KMS 키에 액세스하는 사용자에게 적절한지 확인합니다.
-
Amazon S3 버킷 키를 활성화하지 않은 경우 다음 정책을 사용합니다.
{ "Sid": "Allow use of the key to Compute Optimizer", "Effect": "Allow", "Principal": { "Service": "compute-optimizer.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } }
Amazon S3 버킷 키를 활성화한 경우 다음 정책을 사용합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 버킷 키를 사용하여 SSE-KMS 비용 절감을 참조하세요.
{ "Sid": "Allow use of the key to Compute Optimizer", "Effect": "Allow", "Principal": { "Service": "compute-optimizer.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*" } } }
추가적인 리소스
S3 버킷 및 정책에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서를 참조하세요.
