[AWS] 4. S3 권한 관리 (퍼블릭 액세스 차단 / 버킷 정책 / ACL)

퍼블릭 액세스 차단

• 퍼블릭 액세스 차단은 액세스 포인트, 버킷 및 계정에 대한 설정을 제공하여 S3 리소스에 대한 퍼블릭 액세스를 관리합니다.
• 기본적으로 새 버킷, 액세스 포인트 및 객체는 퍼블릭 액세스를 허용하지 않지만, 퍼블릭 액세스를 허용하도록 버킷 정책, 액세스 포인트 정책 또는 객체 권한을 수정할 수 있습니다.
• 퍼블릭 액세스 차단 설정은 이러한 정책 또는 권한을 무시하므로, S3 리소스에 대한 퍼블릭 액세스를 제한할 수 있습니다.
• 따라서 퍼블릭 액세스 차단을 사용하면, 계정 관리자와 버킷 소유자가 리소스 생성 방식에 관계없이 적용되는 S3 리소스에 대한 퍼블릭 액세스를 제한하는 중앙 집중식 제어를 쉽게 설정할 수 있습니다.

 

새 ACL을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단

• BlockPublicAcls
• 새 ACL을 통해 버킷 또는 객체를 퍼블릭으로 만드려는 시도를 차단합니다.

 

임의의 ACL을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단

• IgnorePublicAcls
• 새 ACL 뿐만 아니라, 기존의 ACL을 통해 버킷 또는 객체를 퍼블릭 액세스할 수 없습니다.

 

새 퍼블릭 버킷 또는 액세스 지점 정책을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단

• BlockPublicPolicy
• 새 버킷 정책이나 액세스 지점 정책을 통해 버킷 또는 객체를 퍼블릭으로 만드려는 시도를 차단합니다.

 

임의의 퍼블릭 버킷 또는 액세스 지점 정책을 통해 부여된 버킷 및 객체에 대한 퍼블릭 및 교차 계정 액세스 차단

• RestrictPublicBuckets
• 퍼블릭 정책이 있는 액세스 포인트 또는 버킷에 대한 액세스가 버킷 소유자 계정 내에서 권한이 있는 사용자와 AWS 서비스 보안 주체로만 제한됩니다.

 

 

버킷 정책

• 버킷 정책은 버킷과 해당 버킷의 객체에 대한 액세스 권한을 부여할 수 있는 리소스 기반 정책입니다.
• 버킷 소유자만 정책을 버킷에 연결할 수 있으며, 버킷에 연결된 권한은 버킷 소유자가 소유한 모든 버킷의 객체에 적용됩니다.
• 기본적으로 S3 버킷에 객체를 업로드하면 객체 작성자가 객체를 소유하고 액세스할 수 있으며, ACL을 통해 다른 사요자에게 객체에 대한 액세스 권한을 부여할 수 있습니다.
• 버킷 정책은 요청자, S3 작업, 리소스 및 요청의 측면 또는 조건을 포함하여 정책의 요소를 기반으로 요청을 허용하거나 거부할 수 있으며, ARN 및 기타 값에 와일드카드 문자를 사용하여 객체의 하위 집합에 권한을 부여할 수 있습니다.

 

 

ACL

• ACL(액세스 제어 목록)로 버킷과 객체에 대한 액세스를 관리합니다.
• 각 버킷과 객체마다 하위 리소스로서 연결되어 있는 ACL이 있으며, 액세스를 허용할 AWS 계정이나 그룹과 액세스 유형을 ACL을 통해 정의합니다.
• 기본적으로 S3 버킷에 객체를 업로드하면 객체 작성자가 객체를 소유하고 액세스할 수 있으며, ACL을 통해 다른 사용자에게 객체에 대한 액세스 권한을 부여할 수 있습니다.
• S3의 최신 사용 사례의 대부분은 더 이상 ACL을 사용할 필요가 없으며, 각 객체에 대해 액세스를 개별적으로 제어해야 하는 비정상적인 상황을 제외하고는 ACL 사용을 중지하는 것이 좋습니다.
• 따라서 버킷 소유자 시행 설정을 선택하여 ACL 사용을 중지하고 버킷 정책을 사용하면, 필요에 따라 계정 외부의 사용자와 데이터를 공유할 수 있어 권한 관리와 감사를 단순화할 수 있습니다.