# Amazon S3 버킷에 대한 액세스 권한 설정
Amazon S3 버킷을 식별한 다음 버킷에 액세스할 수 있는 권한을 DB 클러스터 작업에 부여합니다.
**Topics**
+ [내보낼 Amazon S3 버킷 식별](#export-cluster-data.SetupBucket)
+ [IAM 역할을 사용하여 Amazon S3 버킷에 대한 액세스 권한 제공](#export-cluster-data.SetupIAMRole)
+ [교차 계정 Amazon S3 버킷 사용하기](#export-cluster-data.Setup.XAcctBucket)
## 내보낼 Amazon S3 버킷 식별
DB 클러스터 데이터를 내보낼 Amazon S3 버킷을 식별합니다. 기존 S3 버킷을 사용하거나 새 S3 버킷을 생성합니다.
**참고**
S3 버킷이 DB 클러스터와 동일한 AWS 리전에 있어야 합니다.
Amazon S3 버킷 작업에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*에서 다음을 참조하세요.
+ [S3 버킷에 대한 속성을 보려면 어떻게 해야 합니까?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/view-bucket-properties.html)
+ [How do I enable default encryption for an Amazon S3 bucket?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [S3 버킷을 생성하려면 어떻게 해야 합니까?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)
## IAM 역할을 사용하여 Amazon S3 버킷에 대한 액세스 권한 제공
DB 클러스터 데이터를 Amazon S3로 내보내기 전에 내보내기 작업에 Amazon S3 버킷에 대한 쓰기-액세스 권한을 부여하십시오.
이 권한을 부여하려면 버킷에 대한 액세스 권한을 부여하는 IAM 정책을 생성한 다음 IAM 역할을 생성하고 정책을 역할에 연결해야 합니다. 나중에 DB 클러스터 내보내기 작업에 IAM 역할을 할당할 수 있습니다.
**중요**
AWS Management Console을 사용하여 DB 클러스터를 내보내려는 경우 DB 클러스터를 내보낼 때 IAM 정책 및 역할을 자동으로 생성하도록 선택할 수 있습니다. 지침은 [DB 클러스터 내보내기 작업 생성](export-cluster-data.Exporting.md) 섹션을 참조하세요.
**작업에 Amazon S3에 대한 액세스 권한을 부여하는 방법**
1. IAM 정책을 생성합니다. 이 정책은 DB 클러스터 내보내기 작업에서 Amazon S3 액세스를 허용하는 버킷 및 객체 권한을 제공합니다.
정책에 다음 필수 작업을 포함하여 Amazon Aurora에서 S3 버킷으로의 파일 전송을 허용합니다.
+ `s3:PutObject*`
+ `s3:GetObject*`
+ `s3:ListBucket`
+ `s3:DeleteObject*`
+ `s3:GetBucketLocation`
정책에 다음 리소스를 포함하여 버킷에 있는 S3 버킷과 객체를 식별합니다. 다음 리소스 목록은 Amazon S3에 액세스하기 위한 Amazon 리소스 이름(ARN) 형식을 보여 줍니다.
+ `arn:aws:s3:::amzn-s3-demo-bucket`
+ `arn:aws:s3:::amzn-s3-demo-bucket/*`
Amazon Aurora에 대한 IAM 정책을 생성하는 방법에 대한 자세한 내용은 [IAM 데이터베이스 액세스를 위한 IAM 정책 생성 및 사용](UsingWithRDS.IAMDBAuth.IAMPolicy.md) 섹션을 참조하세요. *IAM 사용 설명서*의 [자습서: 첫 번째 고객 관리형 정책 생성 및 연결](https://docs.aws.amazon.com//IAM/latest/UserGuide/tutorial_managed-policies.html)도 참조하세요.
다음 AWS CLI 명령은 이 옵션으로 `ExportPolicy`라는 IAM 정책을 만듭니다. *amzn-s3-demo-bucket*이라는 버킷에 대한 액세스 권한을 부여합니다.
**참고**
정책을 생성한 후 정책의 ARN을 기록해 둡니다. IAM 역할에 정책을 연결할 때 이후 단계에 ARN이 필요합니다.
```
aws iam create-policy --policy-name ExportPolicy --policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ExportPolicy",
"Effect": "Allow",
"Action": [
"s3:PutObject*",
"s3:ListBucket",
"s3:GetObject*",
"s3:DeleteObject*",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}'
```
1. Aurora가 사용자 대신 이 IAM 역할을 수임하여 Amazon S3 버킷에 액세스할 수 있도록 IAM 역할을 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자에게 권한을 위임하기 위한 역할 생성](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)을 참조하세요.
다음 예제에서는 AWS CLI 명령을 사용해 `rds-s3-export-role`이라는 역할을 생성하는 방법을 보여줍니다.
```
aws iam create-role --role-name rds-s3-export-role --assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "export.rds.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. 생성한 IAM 역할에 생성한 IAM 정책을 연결합니다.
다음 AWS CLI 명령은 앞서 생성한 정책을 `rds-s3-export-role`이라는 역할에 연결합니다. `your-policy-arn`을 이전 단계에서 기록해 둔 정책 ARN으로 바꿉니다.
```
aws iam attach-role-policy --policy-arn your-policy-arn --role-name rds-s3-export-role
```
## 교차 계정 Amazon S3 버킷 사용하기
S3 버킷 교차 AWS 계정을 사용할 수 있습니다. 자세한 내용은 [교차 계정 Amazon S3 버킷 사용하기](aurora-export-snapshot.Setup.md#aurora-export-snapshot.Setup.XAcctBucket) 섹션을 참조하세요.