기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
파일 공유 추가
S3 파일 게이트웨이가 활성화되고 실행되면 추가 파일 공유를 추가하고 Amazon S3 버킷에 대한 액세스 권한을 부여할 수 있습니다. 액세스 권한을 부여할 수 있는 버킷에는 버킷이 포함됩니다.AWS 계정파일 공유보다. 파일 공유를 추가하는 방법에 대한 자세한 내용은 파일 공유 생성 단원을 참조하십시오.
Amazon S3 버킷에 대한 액세스 권한 부여
파일 공유를 생성할 때 파일 게이트웨이는 Amazon S3 버킷에 파일을 업로드하고 버킷에 연결하는 데 사용하는 액세스 포인트 또는 VPC (가상 프라이빗 클라우드) 엔드포인트에서 작업을 수행하기 위한 액세스가 필요합니다. 이 액세스 권한을 부여하기 위해 파일 게이트웨이는AWS Identity and Access Management이 권한을 부여하는 IAM 정책과 연결된 (IAM) 역할입니다.
이 역할에는 IAM 정책과 이 정책에 대한 보안 토큰 서비스 신뢰(STS) 관계가 필요합니다. 이 정책에 따라 역할이 실행할 수 있는 작업이 결정됩니다. 또한 S3 버킷 및 연결된 액세스 포인트 또는 VPC 엔드포인트에는 IAM 역할이 액세스할 수 있는 액세스 정책이 필요합니다.
역할 및 액세스 정책을 직접 생성하거나 파일 게이트웨이가 대신 생성할 수 있습니다. 파일 게이트웨이가 정책을 대신 생성한 경우 해당 정책에는 S3 작업 목록이 포함됩니다. 역할과 권한에 대한 자세한 내용은 단원을 참조하십시오.에 대한 권한을 위임할 역할 생성AWS 서비스의IAM 사용 설명서.
다음 예는 파일 게이트웨이가 IAM 역할을 담당하도록 허용하는 신뢰 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
파일 게이트웨이가 사용자 대신 정책을 생성하도록 하지 않으려는 경우 정책을 직접 생성하여 파일 공유에 연결할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 파일 공유 생성 단원을 참조하십시오.
다음 예제 정책은 파일 게이트웨이가 정책에 나열된 모든 Amazon S3 작업을 수행하도록 허용합니다. 설명문의 첫 번째 부분은 S3 버킷 TestBucket에 대해 나열된 모든 작업을 수행하도록 허용합니다. 두 번째 부분은 TestBucket의 모든 객체에 대해 나열된 작업을 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::TestBucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::TestBucket/*", "Effect": "Allow" } ] }
다음 예제 정책은 앞의 정책과 비슷하지만 파일 게이트웨이가 액세스 포인트를 통해 버킷에 액세스하는 데 필요한 작업을 수행할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:123456789:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] }
참고
VPC 엔드포인트를 통해 파일 공유를 S3 버킷에 연결해야 하는 경우Amazon S3에 대한 엔드포인트 정책의AWS PrivateLink사용 설명서.
교차 서비스 혼동된 대리자 예방
혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. AWS에서는 교차 서비스 가장으로 인해 혼동된 대리자 문제가 발생할 수 있습니다. 교차 서비스 가장은 한 서비스(호출하는 서비스)가 다른 서비스(호출되는 서비스)를 호출할 때 발생할 수 있습니다. 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해 AWS에서는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 제공합니다.
AWS Storage Gateway가 리소스에 다른 서비스를 제공하는 권한을 제한하려면 리소스 정책에서 aws:SourceArn 및 aws:SourceAccount 전역 조건 컨텍스트 키를 사용하는 것이 좋습니다. 두 전역 조건 컨텍스트 키를 모두 사용하는 경우 aws:SourceAccount 값과 aws:SourceArn 값의 계정은 동일한 정책 문에서 사용할 경우 동일한 계정 ID를 사용해야 합니다.
의 가치aws:SourceArn은 (는) 파일 공유가 연결된 Storage Gateway ARN이어야 합니다.
혼란스러운 대리인 문제로부터 보호하는 가장 효과적인 방법은aws:SourceArn리소스의 전체 ARN이 포함된 전역 조건 컨텍스트 키입니다. 리소스의 전체 ARN을 모를 경우 또는 여러 리소스를 지정하는 경우aws:SourceArn와일드카드가 있는 전역 컨텍스트 조건 키 (*) ARN의 알 수 없는 부분에 대한 것입니다. 예: arn:aws:.servicename::123456789012:*
다음 예제는 다음을 사용하는 방법을 보여줍니다.aws:SourceArn과aws:SourceAccount혼란스러운 대리인 문제를 방지하기 위해 Storage Gateway 전역 조건 컨텍스트 키입니다.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-712345DA" } } } ] }
교차 계정 액세스에서 파일 공유 사용
교차 계정 간액세스 권한은 Amazon Web Services 계정과 해당 계정의 사용자에게 다른 Amazon Web Services 계정에 속한 리소스에 대한 액세스 권한이 부여되는 경우를 말합니다. 파일 게이트웨이의 경우 한 Amazon Web Services 계정의 파일 공유를 사용하여 다른 Amazon Web Services 계정에 속한 Amazon S3 버킷의 객체에 액세스할 수 있습니다.
한 Amazon Web Services 계정이 소유한 파일 공유를 사용하여 다른 Amazon Web Services 계정의 S3 버킷에 액세스하려면
-
S3 버킷 소유자가 액세스해야 하는 S3 버킷 및 해당 버킷의 객체에 대한 액세스 권한을 Amazon Web Services 계정에 부여해야 합니다. 이 권한을 부여하는 방법에 대한 자세한 내용은 단원을 참조하십시오.예제 2: 버킷 소유자가 교차 계정 버킷 권한 부여의Amazon Simple Storage Service. 필요한 권한 목록은 Amazon S3 버킷에 대한 액세스 권한 부여 단원을 참조하십시오.
-
파일 공유에서 S3 버킷에 액세스하기 위해 사용하는 IAM 역할에
s3:GetObjectAcl및s3:PutObjectAcl등과 같은 작업에 대한 권한이 포함되어 있어야 합니다. 또한 IAM 역할에 계정이 해당 IAM 역할을 할 수 있도록 허용하는 신뢰 정책이 포함되어 있어야 합니다. 이러한 신뢰 정책의 예제는 Amazon S3 버킷에 대한 액세스 권한 부여 단원을 참조하십시오.파일 공유가 S3 버킷에 액세스하기 위해 기존 역할을 사용하는 경우에는 반드시
s3:GetObjectAc및s3:PutObjectAcl작업에 대한 권한이 포함되어 있어야 합니다. 또한 계정이 이 역할을 수임할 수 있도록 허용하는 신뢰 정책이 필요합니다. 이러한 신뢰 정책의 예제는 Amazon S3 버킷에 대한 액세스 권한 부여 단원을 참조하십시오. 에서 Storage Gateway 콘솔 열기https://console.aws.amazon.com/storagegateway/home
. -
선택버킷 소유자에게 완벽한 제어 제공의객체 메타데이터에서 설정파일 공유 설정 구성대화 상자.
교차 계정 액세스를 위해 파일 공유를 생성 또는 업데이트하고 온프레미스에서 파일 공유를 탑재한 경우 설정을 테스트하는 것이 가장 좋습니다. 이를 위해 디렉터리 콘텐츠를 나열하거나 테스트 파일을 작성하고 파일이 S3 버킷에 객체로 표시되는지 확인할 수 있습니다.
중요
파일 공유에서 사용하는 계정에 교차 계정 액세스 권한을 부여할 수 있도록 정책이 올바르게 설정되어 있는지 확인합니다. 그렇지 않으면 온프레미스 애플리케이션을 통한 파일 업데이트가 작업 중인 Amazon S3 버킷으로 전파되지 않습니다.
리소스
액세스 정책 및 액세스 제어 목록에 대한 자세한 내용은 다음 항목을 참조하십시오.
제공되는 액세스 정책 옵션 사용 지침의Amazon Simple Storage Service
ACL (액세스 통제 목록) 개요의Amazon Simple Storage Service
