Amazon S3 버킷에 데이터 내보내기 설정 - AWS Data Exports

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon S3 버킷에 데이터 내보내기 설정

데이터 내보내기를 수신하고 저장하려면 AWS 계정에 Amazon S3 버킷이 있어야 합니다. 콘솔에서 내보내기를 생성할 때 소유한 기존 S3 버킷을 선택하거나 새 버킷을 생성할 수 있습니다. 어느 경우든 다음 기본 S3 버킷 정책의 적용을 검토 및 확인해야 합니다. Amazon S3 콘솔에서 이 정책을 편집하거나 내보내기를 생성한 후 S3 버킷 소유자를 변경하면 Data Exports가 내보내기를 전송할 수 없습니다. S3 버킷에 내보내기 데이터를 저장하면 표준 Amazon S3 요금이 청구됩니다. 자세한 내용은 할당량 및 제한을 참조하세요.

참고

내보내기를 생성하는 계정은 내보내기를 AWS 보내는 S3 버킷도 소유해야 합니다. 다른 계정이 소유한 S3 버킷으로 내보내기를 구성하지 마십시오.

데이터 내보내기를 생성할 때 모든 S3 버킷에 다음 정책이 적용됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableAWSDataExportsToWriteToS3AndCheckPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "billingreports.amazonaws.com",
                    "bcm-data-exports.amazonaws.com"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:s3:::${bucket_name}/*",
                "arn:aws:s3:::${bucket_name}"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "${accountId}",
                    "aws:SourceArn": [
                        "arn:aws:cur:us-east-1:${accountId}:definition/*",
                        "arn:aws:bcm-data-exports:us-east-1:${accountId}:export/*"
                    ]
                }
            }
        }
    ]
}

이 S3 버킷 정책은 Data Exports가 내보내기를 생성한 계정을 대신하여 S3 버킷으로만 내보내기를 전송할 수 있도록 합니다. 또한 내보내기를 생성한 계정이 여전히 S3 버킷을 소유하고 있는지 Data Exports가 확인할 수 있습니다.

  • 내보내기를 S3 버킷으로 전송하려면 해당 S3 버킷에 대한 쓰기 권한이 AWS 필요합니다. 이를 위해 S3 버킷 정책은 소유한 S3 버킷(arn:aws:s3:::<EXAMPLE-BUCKET>/*)에 보고서를 전달(s3:PutObject)할 수 있는 서비스(bcm-data-exports.amazonaws.com) 권한을 부여합니다.

  • Data Exports에서 S3 버킷에 쓰기 요청을 할 때마다 내보내기를 생성한 계정의 계정 ID를 제공해야 합니다. aws:SourceArnaws:SourceAccount 조건 키가 이를 적용합니다.

  • 이 S3 버킷 정책은 전송 후 비용 및 사용 보고서를 포함하여 S3 버킷의 객체를 읽거나 삭제할 AWS 권한을 부여하지 않습니다.

액세스 제어 목록(ACL)이 활성화된 Amazon S3 버킷의 경우 Data Exports는 보고서를 전송할 때 보고서에 BucketOwnerFullControl ACL을 추가로 적용합니다. 기본적으로 이러한 보고서와 같은 Amazon S3 객체는 해당 객체를 작성한 사용자 또는 서비스 주체만 읽을 수 있습니다. 사용자 또는 S3 버킷 소유자에게 보고서를 읽을 수 있는 권한을 제공하려면 AWS 가 BucketOwnerFullControl ACL을 적용해야 합니다. ACL은 S3 버킷 소유자에게 이 보고서에 대한 Permission.FullControl 권한을 부여합니다. 하지만 ACL을 비활성화하고 S3 버킷 정책을 사용하여 액세스를 제어하는 것이 좋습니다.

참고

새로 만든 S3 버킷의 경우 기본적으로 ACL이 비활성화됩니다. 자세한 내용은 객체 소유권 제어 및 버킷에 대해 ACL 사용 중지를 참조하십시오.

Data Exports 콘솔 페이지에 잘못된 버킷 오류가 표시되는 경우 보고서 설정 이후 정책 및 S3 버킷 소유권이 변경되지 않았는지 확인하세요.