# 액세스 포인트가 있는 디렉터리 버킷에서 공유 데이터세트 액세스 관리
Amazon S3 Access Points는 Amazon S3의 공유 데이터세트에 대한 대규모 데이터 액세스 관리를 간소화합니다. 액세스 포인트는 액세스 포인트를 통해 이루어진 모든 요청에 대해 고유한 권한 및 네트워크 제어를 적용하기 위해 만드는 고유한 호스트 이름입니다. 버킷당 수백 개의 액세스 포인트를 생성할 수 있으며, 각 액세스 포인트에는 각 애플리케이션에 대해 사용자 지정된 고유한 이름과 권한이 있습니다. 각 액세스 포인트는 기본 버킷에 연결된 버킷 정책과 함께 작동합니다.
디렉터리 버킷에서 액세스 포인트 이름은 사용자가 제공하는 기본 이름, 디렉터리 버킷 위치의 영역 ID(AWS 가용 영역 또는 로컬 영역), 그리고 `--xa-s3`으로 구성됩니다. 예를 들어 `accesspointname--zoneID--xa-s3`입니다. 액세스 포인트를 만든 후에는 이름이나 영역 ID를 변경할 수 없습니다.
디렉터리 버킷에 대한 액세스 포인트를 사용하면 액세스 포인트 범위를 사용하여 특정 접두사 또는 API 작업에 대한 액세스를 제한할 수 있습니다. 원하는 양의 접두사를 지정할 수 있지만 모든 접두사의 총 문자 길이는 256바이트 미만이어야 합니다.
가상 프라이빗 클라우드(VPC)의 요청만 수락하도록 액세스 포인트를 구성할 수 있습니다. 이렇게 하면 프라이빗 네트워크에 대한 Amazon S3 데이터 액세스가 제한됩니다.
이 섹션에서는 디렉터리 버킷에 액세스 포인트를 사용하는 방법을 설명합니다. 디렉터리 버킷에 대한 자세한 내용은 [디렉터리 버킷 작업](directory-buckets-overview.md) 섹션을 참조하세요.
**Topics**
+ [
# 디렉터리 버킷의 액세스 포인트 이름 지정 규칙, 제한 및 한계
](access-points-directory-buckets-restrictions-limitations-naming-rules.md)
+ [
# 디렉터리 버킷의 액세스 포인트 참조
](access-points-directory-buckets-naming.md)
+ [
# 디렉터리 버킷의 액세스 포인트에 대한 객체 작업
](access-points-directory-buckets-service-api-support.md)
+ [
# 디렉터리 버킷의 액세스 포인트를 사용하도록 IAM 정책 구성
](access-points-directory-buckets-policies.md)
+ [
# 디렉터리 버킷의 액세스 포인트 모니터링 및 로깅
](access-points-directory-buckets-monitoring-logging.md)
+ [
# 디렉터리 버킷의 액세스 포인트 만들기
](creating-access-points-directory-buckets.md)
+ [
# 디렉터리 버킷의 액세스 포인트 관리
](access-points-directory-buckets-manage.md)
+ [
# 디렉터리 버킷에 대해 S3 Access Points에서 태그 사용
](access-points-db-tagging.md)
# 디렉터리 버킷의 액세스 포인트 이름 지정 규칙, 제한 및 한계
액세스 포인트는 Amazon S3의 공유 데이터 세트에 대한 대규모 데이터 액세스 관리를 간소화합니다. 다음 주제에서는 액세스 포인트 이름 지정 규칙, 제한 및 한계에 대한 정보를 제공합니다.
**Topics**
+ [
## 디렉터리 버킷의 액세스 포인트 이름 지정 규칙
](#access-points-directory-buckets-names)
+ [
## 디렉터리 버킷의 액세스 포인트에 대한 제한 및 한계
](#access-points-directory-buckets-restrictions-limitations)
## 디렉터리 버킷의 액세스 포인트 이름 지정 규칙
액세스 포인트는 버킷이 있는 곳과 동일한 영역에 만들어야 합니다. 액세스 포인트 이름은 영역 내에서 고유해야 합니다.
액세스 포인트 이름은 DNS를 준수해야 하며 다음과 같은 조건을 만족해야 합니다.
+ 숫자 또는 소문자로 시작해야 함
+ 제공하는 기본 이름은 3\$150자여야 합니다.
+ 하이픈(`-`)으로 시작하거나 끝날 수 없음
+ 밑줄(`_`), 대문자, 공백 또는 마침표(`.`)를 포함할 수 없음
+ 접미사 `zoneid--xa--s3`으로 끝나야 합니다.
## 디렉터리 버킷의 액세스 포인트에 대한 제한 및 한계
디렉터리 버킷의 액세스 포인트에는 다음과 같은 제한 및 한계가 있습니다.
+ 각 액세스 포인트는 하나의 디렉터리 버킷에 연결됩니다. 액세스 포인트를 만든 후에는 다른 버킷과 연결할 수 없습니다. 그러나 액세스 포인트를 삭제한 다음 동일한 이름의 새 액세스 포인트를 만들어 다른 버킷에 연결할 수 있습니다.
+ 액세스 포인트를 생성한 후에는 해당 가상 프라이빗 클라우드(VPC) 구성을 변경할 수 없습니다.
+ 액세스 포인트 정책은 크기가 20KB로 제한됩니다.
+ 액세스 포인트 범위 접두사는 총크기가 256바이트로 제한됩니다.
+ AWS 리전마다 AWS 계정당 최대 1만 개의 액세스 포인트를 생성할 수 있습니다. 단일 리전에서 단일 계정에 대해 10,000개 이상의 액세스 포인트가 필요한 경우 서비스 할당량 증가를 요청할 수 있습니다. 서비스 할당량 및 증가 요청에 대한 자세한 내용은 **AWS 일반 참조의 [AWS 서비스 할당량](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)을 참조하십시오.
+ 액세스 포인트를 사용하면 객체에 대한 작업만 수행할 수 있습니다. 액세스 포인트를 사용하여 버킷 수정 또는 삭제와 같은 Amazon S3 버킷 작업을 수행할 수 없습니다. 지원되는 작업의 전체 목록은 [디렉터리 버킷의 액세스 포인트에 대한 객체 작업](access-points-directory-buckets-service-api-support.md) 섹션을 참조하세요.
+ 이름, 액세스 포인트 별칭 또는 가상 호스팅 방식 URI를 사용하여 액세스 포인트를 참조할 수 있습니다. ARN을 사용하여 액세스 포인트를 지정할 수는 없습니다. 자세한 내용은 [디렉터리 버킷의 액세스 포인트 참조](access-points-directory-buckets-naming.md) 섹션을 참조하세요.
+ 액세스 포인트 기능(예: `PutAccessPointPolicy` 및 `GetAccessPointPolicy`)을 제어하는 API 작업에는 액세스 포인트를 소유한 AWS 계정을 지정해야 합니다.
+ REST API를 사용하여 액세스 포인트에 요청할 때는 AWS 서명 버전 4를 사용해야 합니다. 요청 인증에 대한 자세한 내용은 *Amazon Simple Storage Service API 참조*의 [요청 인증(AWS 서명 버전 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)을 참조하십시오.
+ 액세스 포인트는 HTTPS를 통한 액세스만 지원합니다. Amazon S3는 HTTP를 통해 이루어진 모든 요청에 대해 자동으로 HTTP 리디렉션으로 응답하여 요청을 HTTPS로 업그레이드합니다.
+ 액세스 포인트는 익명 액세스를 지원하지 않습니다.
+ 다른 계정(교차 계정 액세스 포인트)이 소유한 버킷에 대한 액세스 포인트를 만드는 경우 버킷 소유자가 버킷에 액세스할 수 있는 권한을 부여할 때까지 교차 계정 액세스 포인트는 데이터에 대한 액세스 권한을 부여하지 않습니다. 버킷 소유자는 항상 데이터 액세스에 대한 최종 제어 권한을 보유하며, 크로스 계정 액세스 포인트로부터의 요청을 승인하도록 버킷 정책을 업데이트해야 합니다. 버킷 정책 예시를 보려면 [디렉터리 버킷의 액세스 포인트를 사용하도록 IAM 정책 구성](access-points-directory-buckets-policies.md) 섹션을 참조하십시오.
# 디렉터리 버킷의 액세스 포인트 참조
액세스 포인트를 만든 후 엔드포인트로 사용하여 객체 작업을 수행할 수 있습니다. 디렉터리 버킷의 액세스 포인트에서 액세스 포인트 별칭은 액세스 포인트 이름과 동일합니다. 모든 데이터 작업에 버킷 이름 대신 액세스 포인트 이름을 사용할 수 있습니다. 지원되는 작업 목록은 [디렉터리 버킷의 액세스 포인트에 대한 객체 작업](access-points-directory-buckets-service-api-support.md) 섹션을 참조하세요.
## 가상 호스팅 방식 URI를 통한 액세스 포인트 참조
액세스 포인트는 가상 호스트 스타일의 주소 지정만 지원합니다. 액세스 포인트는 디렉터리 버킷 엔드포인트와 동일한 형식을 사용합니다. 자세한 내용은 [디렉터리 버킷에 대한 리전 및 영역 엔드포인트](s3-express-Regions-and-Zones.md) 섹션을 참조하세요.
S3 액세스 포인트는 HTTP를 통한 액세스를 지원하지 않습니다. 액세스 포인트는 HTTPS를 통한 보안 액세스만 지원합니다.
# 디렉터리 버킷의 액세스 포인트에 대한 객체 작업
액세스 포인트를 사용하여 다음 S3 데이터 작업을 통해 객체에 액세스할 수 있습니다.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
# 디렉터리 버킷의 액세스 포인트를 사용하도록 IAM 정책 구성
액세스 포인트는 리소스, 사용자 또는 기타 조건별로 액세스 포인트 사용을 제어할 수 있는 AWS Identity and Access Management(IAM) 리소스 정책을 지원합니다. 애플리케이션 또는 사용자가 액세스 포인트를 통해 객체에 액세스할 수 있으려면 액세스 포인트와 기본 버킷 정책 모두에서 요청을 허용해야 합니다.
**중요**
디렉터리 버킷에 액세스 포인트를 추가해도 버킷 이름을 통해 버킷에 직접 액세스할 때 버킷의 동작이 변경되지 않습니다. 버킷에 대한 모든 기존 작업은 이전과 같이 계속 작동합니다. 액세스 포인트 정책 또는 액세스 포인트 범위에 포함하는 제한은 해당 액세스 포인트를 통해 이루어진 요청에만 적용됩니다.
IAM 리소스 정책을 사용할 때는 AWS Identity and Access Management Access Analyzer의 보안 경고, 오류, 일반 경고 및 제안 사항을 해결한 후 정책을 저장해야 합니다. IAM Access Analyzer는 정책 확인은 실행하여 IAM [정책 문법](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) 및 [모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)에 대해 정책을 검증합니다. 이러한 확인은 결과를 생성하고 보안 모범 사례를 준수하고 작동하는 정책을 작성하는 데 도움이 되는 권장 사항을 제공합니다.
IAM Access Analyzer를 사용한 정책 검증에 대한 자세한 내용은 **IAM 사용 설명서의 [IAM Access Analyzer 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하십시오. IAM Access Analyzer에서 반환된 경고, 오류 및 제안 사항 목록을 보려면 [IAM Access Analyzer 정책 확인 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)를 참조하십시오.
## 디렉터리 버킷의 액세스 포인트 정책 예제
다음 액세스 포인트 정책은 디렉터리 버킷에 대한 요청을 제어하는 방법을 보여줍니다. 액세스 포인트 정책에는 ARN 또는 액세스 포인트 ARN이 필요합니다. 액세스 포인트 별칭은 정책에서 지원되지 않습니다. 다음은 액세스 포인트 ARN의 예입니다.
```
arn:aws:s3express:region:account-id:accesspoint/myaccesspoint--zoneID--xa-s3
```
액세스 포인트의 세부 정보에서 액세스 포인트 ARN을 볼 수 있습니다. 자세한 내용은 [디렉터리 버킷의 액세스 포인트에 대한 세부 정보 보기](access-points-directory-buckets-details.md) 섹션을 참조하세요.
**참고**
액세스 포인트 정책에 부여된 권한은 기본 버킷이 동일한 액세스를 허용하는 경우에만 유효합니다. 다음 두 가지 방법으로 이 작업을 수행할 수 있습니다.
**(권장)** [액세스 포인트에 액세스 제어 위임](#access-points-directory-buckets-delegating-control)에 설명된 대로 버킷의 액세스 제어를 액세스 포인트에 위임합니다.
액세스 포인트 정책에 포함된 동일한 권한을 기본 버킷의 정책에 추가합니다.
**Example 1 - 액세스 포인트를 VPC 네트워크 오리진으로 제한하는 서비스 제어 정책**
다음 서비스 제어 정책에서는 가상 프라이빗 클라우드(VPC) 네트워크 오리진을 사용하여 모든 새 액세스 포인트를 만들어야 합니다. 이 정책을 적용하면 조직의 사용자가 인터넷에서 액세스할 수 있는 액세스 포인트를 만들 수 없습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3express:CreateAccessPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3express:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
```
**Example 2 - 버킷 액세스를 VPC 네트워크 오리진이 있는 액세스 포인트로 제한하는 액세스 포인트 정책**
다음 액세스 포인트 정책은 버킷 *amzn-s3-demo-bucket--zoneID--x-s3*에 대한 모든 액세스를 VPC 네트워킹 오리진이 있는 액세스 포인트로 제한합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateSessionFromNonVPC",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3"
}
]
}
```
## 조건 키
디렉터리 버킷의 액세스 포인트에는 리소스에 대한 액세스를 제어하기 위해 IAM 정책에서 사용할 수 있는 조건 키가 있습니다. 다음 조건 키는 IAM 정책의 일부만 나타냅니다. 정책 예제를 모두 확인하려면 [디렉터리 버킷의 액세스 포인트 정책 예제](#access-points-directory-buckets-policy-examples), [액세스 포인트에 액세스 제어 위임](#access-points-directory-buckets-delegating-control), [크로스 계정 액세스 포인트에 대한 권한 부여](#access-points-directory-buckets-cross-account) 페이지를 참조하십시오.
**`s3express:DataAccessPointArn`**
이 예제에서는 액세스 포인트의 Amazon 리소스 이름(ARN)을 기준으로 액세스를 필터링하고 *리전* 리전에 있는 AWS 계정 *111122223333*의 모든 액세스 포인트와 일치시키는 방법을 보여줍니다.
```
"Condition" : {
"StringLike": {
"s3express:DataAccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/*"
}
}
```
**`s3express:DataAccessPointAccount`**
이 예제는 액세스 포인트 소유자의 계정 ID와 일치시키는 데 사용할 수 있는 문자열 연산자를 보여줍니다. 다음 예제는 AWS 계정 *`111122223333`*가 소유한 모든 액세스 포인트와 일치합니다.
```
"Condition" : {
"StringEquals": {
"s3express:DataAccessPointAccount": "111122223333"
}
}
```
**`s3express:AccessPointNetworkOrigin`**
이 예제는 네트워크 오리진 `Internet` 또는 `VPC`와 일치시키는 데 사용할 수 있는 문자열 연산자를 보여줍니다. 다음 예제에서는 오리진이 VPC인 액세스 포인트와만 일치합니다.
```
"Condition" : {
"StringEquals": {
"s3express:AccessPointNetworkOrigin": "VPC"
}
}
```
**`s3express:Permissions`**
`s3express:Permissions`를 사용하여 액세스 포인트 범위 내에서 특정 API 작업에 대한 액세스를 제한할 수 있습니다. 지원되는 API 작업은 다음과 같습니다.
+ `PutObject`
+ `GetObject`
+ `DeleteObject`
+ `ListBucket`(`ListObjectsV2`의 경우 필수)
+ `GetObjectAttributes`
+ `AbortMultipartUpload`
+ `ListBucketMultipartUploads`
+ `ListMultipartUploadParts`
다중 값 조건 키를 사용하는 경우 `Allow` 문과 함께 `ForAllValues`를 사용하고 `Deny` 문과 함께 `ForAnyValue`를 사용하는 것이 좋습니다. 자세한 내용은 IAM 사용 설명서의[Multivalued context keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)를 참조하세요.
Amazon S3에서 조건 키를 사용하는 방법에 대한 자세한 내용은 **서비스 승인 참조에서 [Amazon S3에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)를 참조하세요.
S3 리소스 유형별로 S3 API 작업에 필요한 권한에 대한 자세한 내용은 [Amazon S3 API 작업에 필요한 권한](using-with-s3-policy-actions.md) 섹션을 참조하세요.
## 액세스 포인트에 액세스 제어 위임
버킷 정책의 액세스 제어를 액세스 포인트 정책에 위임할 수 있습니다. 다음 예제 버킷 정책은 버킷 소유자의 계정이 소유한 모든 액세스 포인트에 대한 전체 액세스를 허용합니다. 정책을 적용한 후에는 이 버킷에 대한 모든 액세스는 액세스 포인트 정책에 의해 제어됩니다. 버킷에 직접 액세스할 필요가 없는 모든 사용 사례에 대해 이 방법으로 버킷을 구성하는 것이 좋습니다.
**Example 액세스 포인트에 액세스 제어를 위임하는 버킷 정책**
```
{
"Version": "2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "Bucket ARN",
"Condition": {
"StringEquals" : { "s3express:DataAccessPointAccount" : "Bucket owner's account ID" }
}
}]
}
```
## 크로스 계정 액세스 포인트에 대한 권한 부여
다른 계정이 소유한 버킷에 액세스 포인트를 생성하려면 먼저 버킷 이름과 계정 소유자 ID를 지정하여 액세스 포인트를 만들어야 합니다. 그런 다음, 액세스 포인트로부터의 요청을 승인하도록 버킷 정책을 버킷 소유자가 업데이트해야 합니다. 액세스 포인트를 생성하는 것은 액세스 포인트가 버킷 콘텐츠에 대한 액세스를 제공하지 않는다는 점에서 DNS CNAME을 생성하는 것과 유사합니다. 모든 버킷 액세스는 버킷 정책에 의해 제어됩니다. 다음 예제 버킷 정책은 신뢰할 수 있는 AWS 계정이 소유한 액세스 포인트에서 버킷의 `GET` 및 `LIST` 요청을 허용합니다.
*Bucket ARN*을 버킷의 ARN으로 바꿉니다.
**Example 다른 AWS 계정에 권한을 위임하는 버킷 정책**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "AllowCreateSessionForDirectoryBucket",
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "s3express:CreateSession",
"Resource" : [ "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3" ],
"Condition": {
"ForAllValues:StringEquals": {
"s3express:Permissions": [
"GetObject",
"ListBucket"
]
}
}
}]
}
```
# 디렉터리 버킷의 액세스 포인트 모니터링 및 로깅
AWS CloudTrail을 사용하여 액세스 포인트를 통해 이루어진 요청과 액세스 포인트를 관리하는 API에 대한 요청(예: `CreateAccessPoint` 및 `GetAccessPointPolicy,`)을 로깅할 수 있습니다. 액세스 포인트를 통해 이루어진 요청에 대한 CloudTrail 로그 항목에는 로그의 `resources` 섹션에 액세스 포인트 ARN(액세스 포인트 이름 포함)이 포함됩니다.
예를 들어, 다음과 같은 구성이 있다고 가정합니다.
+ `my-image.jpg`라는 객체를 포함하는 `region` 리전의 `amzn-s3-demo-bucket--zone-id--x-s3`이라는 버킷
+ `my-bucket-ap--zoneID--xa-s3`과 연결된 이름이 `amzn-s3-demo-bucket--zone-id--x-s3`인 액세스 포인트
+ `123456789012`의 AWS 계정 ID
다음 예제에서는 이전 구성에 대한 CloudTrail 로그 항목의 `resources` 섹션을 보여줍니다.
```
"resources": [
{"type": "AWS::S3Express::Object",
"ARN": "arn:aws:s3express-region:123456789012:bucket/amzn-s3-demo-bucket--zone-id--x-s3/my-image.jpg"
},
{"accountId": "c",
"type": "AWS::S3Express::DirectoryBucket",
"ARN": "arn:aws::s3express:region:123456789012:bucket/amzn-s3-demo-bucket--zone-id--x-s3"
},
{"accountId": "123456789012",
"type": "AWS::S3::AccessPoint",
"ARN": "arn:aws:s3express:region:123456789012:accesspoint/my-bucket-ap--zoneID--xa-s3"
}
]
```
AWS CloudTrail에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [AWS CloudTrail이란 무엇인가요?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)를 참조하세요.
# 디렉터리 버킷의 액세스 포인트 만들기
디렉터리 버킷과 마찬가지로 가용 영역 또는 전용 로컬 영역에서 액세스 포인트를 생성할 수 있습니다. 액세스 포인트는 연결된 디렉터리 버킷과 동일한 영역에서 생성해야 합니다.
액세스 포인트는 정확히 하나의 Amazon S3 디렉터리 버킷과 연결됩니다. AWS 계정 내에서 디렉터리 버킷을 사용하려면 먼저 디렉터리 버킷을 생성해야 합니다. 디렉터리 버킷 생성에 대한 자세한 내용은 [가용 영역에서 디렉터리 버킷 생성](directory-bucket-create.md) 또는 [로컬 영역에서 디렉터리 버킷 생성](create-directory-bucket-LZ.md) 섹션을 참조하세요.
또한, 버킷 이름과 버킷 소유자의 계정 ID를 알고 있으면 다른 AWS 계정 내에 있는 버킷과 연결된 크로스 계정 액세스 포인트를 생성할 수 있습니다. 하지만 크로스 계정 액세스 포인트를 생성해도 버킷 소유자로부터 권한을 부여받기 전까지는 버킷의 데이터에 대한 액세스 권한이 부여되지 않습니다. 버킷 소유자가 버킷 정책을 통해 액세스 포인트 소유자의 계정(귀하의 계정)에게 버킷에 대한 액세스 권한을 부여해야 합니다. 자세한 내용은 [크로스 계정 액세스 포인트에 대한 권한 부여](access-points-policies.md#access-points-cross-account) 섹션을 참조하세요.
AWS Management Console, AWS CLI, REST API 또는 AWS SDK를 사용하여 모든 디렉터리 버킷에 액세스 포인트를 생성할 수 있습니다. 각 액세스 포인트는 단일 디렉터리 버킷과 연결되며 버킷당 수백 개의 액세스 포인트를 만들 수 있습니다. 액세스 포인트를 만들 때 액세스 포인트의 이름과 이를 연결할 디렉터리 버킷을 선택합니다. 액세스 포인트 이름은 사용자가 제공하는 기본 이름과 버킷 위치의 영역ID와 `--xa-s3`를 차례로 포함하는 접미사로 구성됩니다. 예를 들어 `myaccesspoint-zoneID--xa-s3`과 같이 생성할 수 있습니다. 가상 프라이빗 클라우드(VPC)를 통해 액세스 포인트에 대한 액세스를 제한할 수도 있습니다. 그런 다음 디렉터리 버킷 이름을 사용할 때와 같이 이름을 사용하여 액세스 포인트를 통해 데이터 읽기 및 쓰기를 즉시 시작할 수 있습니다.
액세스 포인트 범위를 사용하면 액세스 포인트를 통한 디렉터리 버킷 액세스를 특정 접두사 또는 API 작업으로 제한할 수 있습니다. 액세스 포인트에 범위를 추가하지 않으면 액세스 포인트를 통해 액세스할 때 디렉터리 버킷 내 모든 접두사 및 모든 API 작업을 버킷의 객체에 대해 수행할 수 있습니다. 액세스 포인트를 생성한 후에는 AWS CLI, AWS SDK 또는 REST API를 사용하여 범위를 추가, 수정 또는 삭제할 수 있습니다. 자세한 내용은 [디렉터리 버킷의 액세스 포인트 범위 관리](access-points-directory-buckets-manage-scope.md) 섹션을 참조하세요.
액세스 포인트를 생성한 후 액세스 포인트 IAM 리소스 정책을 구성할 수 있습니다. 자세한 내용은 [액세스 포인트 정책 보기, 편집 또는 삭제](access-points-directory-buckets-policy.md) 섹션을 참조하세요.
## S3 콘솔 사용
**참고**
디렉터리 버킷 화면에서 디렉터리 버킷의 액세스 포인트를 생성할 수도 있습니다. 이렇게 하면 디렉터리 버킷 이름이 제공되므로 액세스 포인트를 생성할 때 버킷을 선택할 필요가 없습니다. 자세한 내용은 [디렉터리 버킷 나열](directory-buckets-objects-ListExamples.md) 섹션을 참조하세요.
**디렉터리 버킷의 액세스 포인트를 생성하는 방법**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 액세스 포인트를 생성하려는 리전을 선택합니다. 액세스 포인트는 연결된 버킷과 동일한 리전에서 생성해야 합니다.
1. 왼쪽 탐색 창에서 **디렉토리 버킷용 액세스 포인트**를 선택합니다.
1. **액세스 포인트(Access Points)** 페이지에서 **액세스 포인트 생성(Create access point)**을 선택합니다.
1. 사용 중인 계정 또는 다른 계정의 디렉터리 버킷용 액세스 포인트를 생성할 수 있습니다. 다른 계정의 디렉터리 버킷용 액세스 포인트를 생성하려면 다음과 같이 합니다.
**참고**
다른 AWS 계정의 버킷을 사용하는 경우, 액세스 포인트의 요청을 승인하도록 버킷 소유자가 버킷 정책을 업데이트해야 합니다. 버킷 정책 예제는 [크로스 계정 액세스 포인트에 대한 권한 부여](access-points-directory-buckets-policies.md#access-points-directory-buckets-cross-account)를 참조하세요.
1. **디렉터리 버킷** 필드에서 **다른 계정의 버킷 지정**을 선택합니다.
1. **버킷 소유자 계정 ID** 필드에 버킷을 소유한 AWS 계정 ID를 입력합니다.
1. **버킷 이름** 필드에 기본 이름과 영역 ID를 포함한 버킷의 이름을 입력합니다. 예를 들어 ***bucket-base-name*--*zone-id*--x-s3**입니다.
1. 사용 중인 계정의 디렉터리 버킷용 액세스 포인트를 생성하려면 다음과 같이 합니다.
1. **디렉터리 버킷** 필드에서 **이 계정에서 버킷 선택**을 선택합니다.
1. **버킷 이름** 필드에 기본 이름과 영역 ID를 포함한 버킷의 이름을 입력합니다. 예를 들어 ***bucket-base-name*--*zone-id*--x-s3**입니다. 목록에서 버킷을 선택하려면 **S3 찾아보기**를 선택한 다음 해당 디렉터리 버킷을 선택합니다.
1. **액세스 포인트 이름**의 **기본 이름** 필드에 액세스 포인트의 기본 이름을 입력합니다. 영역 ID와 전체 액세스 포인트 이름이 나타납니다. 액세스 포인트 명명에 대한 자세한 내용은 [디렉터리 버킷의 액세스 포인트 이름 지정 규칙](access-points-directory-buckets-restrictions-limitations-naming-rules.md#access-points-directory-buckets-names) 섹션을 참조하십시오.
1. **네트워크 오리진**에서 **가상 프라이빗 클라우드(VPC)** 또는 **인터넷**을 선택합니다. **가상 프라이빗 클라우드(VPC)**를 선택한 경우 **VPC ID** 필드에 액세스 포인트에 사용할 VPC의 ID를 입력합니다.
1. (선택 사항) 이 액세스 포인트에 범위를 적용하려면 **액세스 포인트 범위**에서 **접두사 또는 권한을 사용하여 이 액세스 포인트의 범위 제한**을 선택합니다.
1. 디렉터리 버킷에서 접두사에 대한 액세스를 제한하려면 **접두사**에서 하나 이상의 접두사를 입력합니다. 다른 접두사를 추가하려면 **접두사 추가**를 선택합니다. 접두사를 제거하려면 **제거**를 선택합니다.
**참고**
액세스 포인트 범위에는 모든 접두사에 대한 총 512자의 문자 제한이 있습니다. **접두사 추가** 아래에서 남아 있는 문자 수를 확인할 수 있습니다.
1. **권한**에서 액세스 포인트가 허용할 API 작업을 하나 이상 선택합니다. 데이터 작업을 제거하려면 데이터 작업 이름 옆에 있는 **X**를 선택합니다.
1. 액세스 포인트에 범위를 적용하지 않고 액세스 포인트를 통한 디렉터리 버킷의 모든 접두사와 모든 API 작업에 대한 액세스를 허용하려면 **액세스 포인트 범위**에서 **전체 버킷에 액세스 적용**을 선택합니다.
1. **디렉터리 버킷용 액세스 포인트 생성**을 선택합니다. 액세스 포인트의 이름 및 기타 정보는 **디렉토리 버킷용 액세스 포인트** 목록에 표시됩니다.
## AWS CLI 사용
다음 예제 명령은 계정 *111122223333* 내의 버킷 **amzn-s3-demo-bucket*--*zone-id*--x-s3*에 대해 이름이 *example-ap*인 액세스 포인트를 생성합니다.
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3
```
VPC를 통해 액세스 포인트에 대한 액세스를 제한하려면 `--vpc` 파라미터와 VPC ID를 포함합니다.
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --vpc vpc-id
```
교차 계정 버킷에 대한 액세스 포인트를 만들 때 `--bucket-account-id` 파라미터를 포함합니다. 다음 예제 명령은 AWS 계정 *444455556666*이 소유한 버킷 **amzn-s3-demo-bucket*--*zone-id*--x-s3*에 대해 AWS 계정 *111122223333*에 액세스 포인트를 생성합니다.
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --bucket-account-id 444455556666
```
자세한 내용과 예제는 AWS CLI 명령 참조의 [create-access-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/create-access-point.html)를 참조하세요.
## REST API 사용
다음 예제 명령은 계정 *111122223333*의 버킷 **amzn-s3-demo-bucket*--*zone-id-*-x-s3*에 대해 *example-ap*이라는 액세스 포인트를 생성하고 VPC *vpc-id*(선택 사항)를 통해 액세스를 제한합니다.
```
PUT /v20180820/accesspoint/example-ap--zoneID--xa-s3 HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
amzn-s3-demo-bucket--zone-id--x-s3s
111122223333
vpc-id
```
응답:
```
HTTP/1.1 200
"arn:aws:s3express:region:111122223333:accesspoint/example-ap--zoneID--xa-s3"
example-ap--zoneID--xa-s3
```
## AWS SDK 사용
AWS SDK를 사용하여 액세스 포인트를 만들 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [지원되는 SDK 목록](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html#API_control_CreateAccessPoint_SeeAlso)을 참조하세요.
# 디렉터리 버킷의 액세스 포인트 관리
이 섹션에서는 AWS Command Line Interface, Amazon S3 REST API 또는 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트를 관리하는 방법에 대해 설명합니다.
**Topics**
+ [
# 디렉터리 버킷의 액세스 포인트 나열
](access-points-directory-buckets-list.md)
+ [
# 디렉터리 버킷의 액세스 포인트에 대한 세부 정보 보기
](access-points-directory-buckets-details.md)
+ [
# 액세스 포인트 정책 보기, 편집 또는 삭제
](access-points-directory-buckets-policy.md)
+ [
# 디렉터리 버킷의 액세스 포인트 범위 관리
](access-points-directory-buckets-manage-scope.md)
+ [
# 디렉터리 버킷의 액세스 포인트 삭제
](access-points-directory-buckets-delete.md)
# 디렉터리 버킷의 액세스 포인트 나열
이 섹션에서는 AWS Management Console, AWS Command Line Interface(AWS CLI), REST API 또는 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트를 관리하는 방법을 설명합니다.
## S3 콘솔 사용
**AWS 계정의 액세스 포인트를 나열하는 방법**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 액세스 포인트를 나열하려는 리전을 선택합니다.
1. 콘솔 왼쪽의 탐색 창에서 **디렉토리 버킷용 액세스 포인트**를 선택합니다.
1. (선택 사항) 이름으로 액세스 포인트를 검색합니다. 선택한 AWS 리전의 액세스 포인트만 여기에 표시됩니다.
1. 관리할 액세스 포인트의 이름을 선택합니다.
## AWS CLI 사용
다음 `list-access-points-for-directory-buckets` 예시 명령은 AWS CLI를 사용하여 AWS 계정이 소유하고 디렉터리 버킷과 연결된 액세스 포인트를 나열하는 방법을 보여줍니다.
다음 명령은 버킷 **amzn-s3-demo-bucket*--*zone-id*--x-s3*에 연결된 AWS 계정 *111122223333*의 액세스 포인트를 나열합니다.
```
aws s3control list-access-points-for-directory-buckets --account-id 111122223333 --directory-bucket amzn-s3-demo-bucket--zone-id--x-s3
```
자세한 내용과 예제는 AWS CLI 명령 참조의 [list-access-points-for-directory-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points-for-directory-buckets.html)를 참조하세요.
## REST API 사용
다음 예시 명령은 REST API를 사용하여 액세스 포인트를 나열하는 방법을 보여줍니다.
```
GET /v20180820/directoryaccesspoint?directoryBucket=amzn-s3-demo-bucket--zone-id--x-s3
&maxResults=maxResults HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
**Example `ListAccessPointsForDirectoryBuckets` 응답**
```
HTTP/1.1 200
arn:aws:s3express:region:111122223333:accesspoint/example-access-point--zoneID--xa-s3
example-access-point--zoneID--xa-s3
amzn-s3-demo-bucket--zone-id--x-s3
111122223333
example-access-point--zoneID--xa-s3
VPC
VPC-1
```
## AWS SDK 사용
AWS SDK를 사용하여 액세스 포인트를 나열할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [지원되는 SDK 목록](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForDirectoryBuckets.html#API_control_ListAccessPointsForDirectoryBuckets_SeeAlso)을 참조하세요.
# 디렉터리 버킷의 액세스 포인트에 대한 세부 정보 보기
이 섹션에서는 AWS Management Console, AWS CLI, AWS SDK 또는 REST API를 사용하여 디렉터리 버킷의 액세스 포인트에 대한 세부 정보를 보는 방법을 설명합니다.
## S3 콘솔 사용
디렉터리 버킷의 액세스 포인트에 대한 세부 정보를 보면 액세스 포인트 및 연결된 디렉터리 버킷에 대한 다음 정보를 확인할 수 있습니다.
+ 속성:
+ 디렉터리 버킷 이름
+ 디렉터리 버킷 소유자 계정 ID
+ AWS 리전
+ 디렉터리 버킷 위치 유형
+ 디렉터리 버킷 위치 이름
+ 액세스 포인트 생성 날짜
+ 네트워크 오리진
+ VPC ID
+ S3 URI
+ 액세스 포인트 ARN
+ 액세스 포인트 별칭
+ 권한:
+ IAM 외부 액세스 분석기 조사 결과
+ 액세스 포인트 범위
+ 액세스 포인트 정책
**AWS 계정의 액세스 포인트에 대한 세부 정보를 보는 방법**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 액세스 포인트를 나열하려는 리전을 선택합니다.
1. 콘솔 왼쪽의 탐색 창에서 **디렉토리 버킷용 액세스 포인트**를 선택합니다.
1. (선택 사항) 이름으로 액세스 포인트를 검색합니다. 선택한 AWS 리전의 액세스 포인트만 여기에 표시됩니다.
1. 관리할 액세스 포인트의 이름을 선택합니다.
1. **속성** 탭 또는 **권한** 탭을 선택합니다.
## AWS CLI 사용
다음 `get-access-point` 예시 명령은 AWS CLI를 사용하여 액세스 포인트의 세부 정보를 보는 방법을 보여줍니다.
다음 명령은 AWS 계정 *111122223333*에 대한 액세스 포인트 **my-access-point*--*zoneID*--xa-s3*의 세부 정보를 나열합니다.
```
aws s3control get-access-point --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
**Example / `get-access-point` 명령의 출력**
```
{
"Name": "example-access-point--zoneID--xa-s3",
"Bucket": "amzn-s3-demo-bucket--zone-id--x-s3",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2025-04-23T18:26:22.146000+00:00",
"Alias": "example-access-point--zoneID--xa-s3",
"AccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/example-access-point--zoneID--xa-s3",
"BucketAccountId": "296805379465"
}
```
자세한 내용과 예제는 **AWS CLI 명령 참조에서 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html)를 참조하십시오.
## REST API 사용
REST API를 사용하여 액세스 포인트의 세부 정보를 볼 수 있습니다. 자세한 내용은 *Amazon Simple Storage Service API 참조*에서 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html)를 참조하세요.
## AWS SDK 사용
AWS SDK를 사용하여 액세스 포인트의 세부 정보를 볼 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [지원되는 SDK 목록](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html#API_control_GetAccessPoint_SeeAlso)을 참조하세요.
# 액세스 포인트 정책 보기, 편집 또는 삭제
AWS Identity and Access Management(IAM) 액세스 포인트 정책을 사용하여 액세스 포인트에 액세스할 수 있는 위탁자와 리소스를 제어할 수 있습니다. 액세스 포인트 범위는 액세스 포인트에 대한 접두사 및 API 권한을 관리합니다. AWS Command Line Interface, REST API 또는 AWS SDK를 사용하여 액세스 포인트 정책을 생성, 편집 및 삭제할 수 있습니다. 액세스 포인트 범위에 대한 자세한 내용은 [디렉터리 버킷의 액세스 포인트 범위 관리](access-points-directory-buckets-manage-scope.md) 섹션을 참조하세요.
**참고**
디렉터리 버킷은 세션 기반 권한 부여를 사용하므로 정책에는 항상 `s3express:CreateSession` 작업이 포함되어야 합니다.
## S3 콘솔 사용
**액세스 포인트 정책 보기, 편집 또는 삭제 방법**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 액세스 포인트를 나열하려는 리전을 선택합니다.
1. 콘솔 왼쪽의 탐색 창에서 **디렉토리 버킷용 액세스 포인트**를 선택합니다.
1. (선택 사항) 이름으로 액세스 포인트를 검색합니다. 선택한 AWS 리전의 액세스 포인트만 여기에 표시됩니다.
1. 관리할 액세스 포인트의 이름을 선택합니다.
1. **권한** 탭을 선택합니다.
1. 액세스 포인트 정책을 생성하거나 편집하려면 **액세스 포인트 정책**에서 **편집**을 선택합니다. 정책을 편집합니다. **저장**을 선택합니다.
1. 액세스 포인트 정책을 삭제하려면 **액세스 포인트 정책**에서 **삭제**를 선택합니다. **액세스 포인트 정책 삭제** 창에서 **confirm**을 입력하고 **삭제**를 선택합니다.
## AWS CLI 사용
`get-acccess-point-policy`, `put-access-point-policy` 및 `delete-access-point-policy` 명령을 사용하여 액세스 포인트 정책을 확인, 편집 또는 삭제할 수 있습니다. 자세한 내용은 AWS CLI 명령 참조의 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-policy.html#get-access-point-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-policy.html#get-access-point-policy), [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-access-point-policy.html#put-access-point-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-access-point-policy.html#put-access-point-policy) 또는 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-policy.html#delete-access-point-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-policy.html#delete-access-point-policy) 섹션을 참조하세요.
## REST API 사용
REST API `GetAccessPointPolicy`, `DeleteAccessPointPolicy` 및 `PutAccessPointPolicy` 작업을 사용하여 액세스 포인트 정책을 확인, 삭제 또는 편집할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) 또는 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html) 섹션을 참조하세요.
## AWS SDK 사용
AWS SDK를 사용하여 액세스 포인트 정책을 확인, 삭제 또는 편집할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [GetAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso), [DeleteAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso) 및 [PutAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso)에 지원되는 SDK 목록을 참조하세요.
# 디렉터리 버킷의 액세스 포인트 범위 관리
이 섹션에서는 AWS Command Line Interface, REST API 또는 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트 범위를 보고 수정하는 방법을 설명합니다. 액세스 포인트 범위를 사용하여 특정 접두사 또는 API 작업으로 액세스를 제한할 수 있습니다.
**Topics**
+ [
## 디렉터리 버킷의 액세스 포인트 범위 보기
](#access-points-directory-buckets-view-scope)
+ [
## 디렉터리 버킷의 액세스 포인트 범위 수정
](#access-points-directory-buckets-modify-scope)
+ [
## 디렉터리 버킷의 액세스 포인트 범위 삭제
](#access-points-directory-buckets-delete-scope)
## 디렉터리 버킷의 액세스 포인트 범위 보기
AWS Management Console, AWS Command Line Interface, REST API 또는 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트 범위를 볼 수 있습니다.
### S3 콘솔 사용
**디렉터리 버킷의 액세스 포인트 범위 보기**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 액세스 포인트를 나열하려는 리전을 선택합니다.
1. 콘솔 왼쪽의 탐색 창에서 **디렉토리 버킷용 액세스 포인트**를 선택합니다.
1. (선택 사항) 이름으로 액세스 포인트를 검색합니다. 선택한 AWS 리전의 액세스 포인트만 여기에 표시됩니다.
1. 관리할 액세스 포인트의 이름을 선택합니다.
1. **권한** 탭을 선택합니다.
1. **액세스 포인트 범위**에서 액세스 포인트에 적용된 접두사와 권한을 볼 수 있습니다.
### AWS CLI 사용
다음 `get-access-point-scope` 예시 명령은 AWS CLI를 사용하여 액세스 포인트의 범위를 보는 방법을 보여줍니다.
다음 명령은 AWS 계정 *111122223333*에 대한 액세스 포인트 **my-access-point**--*zoneID*--xa-s3의 범위를 표시합니다.
```
aws s3control get-access-point-scope --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
자세한 내용과 예제는 AWS CLI 명령 참조의 [get-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-scope.html)를 참조하세요.
**Example `get-access-point-scope`의 결과**
```
{
"Scope": {
"Permissions": [
"ListBucket",
"PutObject"
]
"Prefixes": [
"Prefix": "MyPrefix1*",
"Prefix": "MyObjectName.csv"
]
}
}
```
### REST API 사용
다음 `GetAccessPointScope` 예제 요청은 REST API를 사용하여 액세스 포인트의 범위를 보는 방법을 보여줍니다.
다음 요청은 AWS 계정 *111122223333*에 대한 액세스 포인트 **my-access-point**--*region*-*zoneID*--xa-s3의 범위를 표시합니다.
```
GET /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
**Example `GetAccessPointScope`의 결과**
```
HTTP/1.1 200
MyPrefix1*
MyObjectName.csv
ListBucket
PutObject
```
### AWS SDK 사용
AWS SDK를 사용하여 액세스 포인트의 범위를 볼 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [지원되는 SDK 목록](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointScope.html#API_control_GetAccessPointScope_SeeAlso)을 참조하세요.
## 디렉터리 버킷의 액세스 포인트 범위 수정
AWS Management Console, AWS Command Line Interface, REST API 또는 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트 범위를 수정할 수 있습니다. 액세스 포인트 범위는 특정 접두사, API 작업 또는 이 둘의 조합으로 액세스를 제한하는 데 사용됩니다.
다음 API 작업 중 하나 이상을 권한으로 포함할 수 있습니다.
+ `PutObject`
+ `GetObject`
+ `DeleteObject`
+ `ListBucket`(`ListObjectsV2`의 경우 필수)
+ `GetObjectAttributes`
+ `AbortMultipartUploads`
+ `ListBucketMultipartUploads`
+ `ListMultipartUploadParts`
**참고**
원하는 양의 접두사를 지정할 수 있지만 모든 접두사의 총 문자 길이는 크기가 256바이트 미만이어야 합니다.
### S3 콘솔 사용
**액세스 포인트 범위 수정**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 액세스 포인트를 나열하려는 리전을 선택합니다.
1. 콘솔 왼쪽의 탐색 창에서 **디렉토리 버킷용 액세스 포인트**를 선택합니다.
1. (선택 사항) 이름으로 액세스 포인트를 검색합니다. 선택한 AWS 리전의 액세스 포인트만 여기에 표시됩니다.
1. 관리할 액세스 포인트의 이름을 선택합니다.
1. **권한** 탭을 선택합니다.
1. **액세스 포인트 범위** 섹션에서 **편집**을 선택합니다.
1. 접두사 추가 또는 제거:
1. 접두사를 추가하려면 **접두사 추가**를 선택합니다. **접두사** 필드에 디렉터리 버킷의 접두사를 입력합니다. 반복하여 접두사를 더 추가합니다.
1. 접두사를 제거하려면 **제거**를 선택합니다.
1. 권한 추가 또는 제거:
1. 권한을 추가하려면 **데이터 작업 선택** 필드에서 권한을 선택합니다.
1. 권한을 제거하려면 권한 옆에 있는 **X**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
### AWS CLI 사용
다음 `put-access-point-scope` 예시 명령은 AWS CLI를 사용하여 액세스 포인트의 범위를 수정하는 방법을 보여줍니다.
다음 명령은 AWS 계정 *111122223333*에 대한 **my-access-point**--*zoneID*--xa-s3의 액세스 포인트 범위를 수정합니다.
**참고**
별표(\$1) 문자를 사용하여 접두사에 와일드카드를 사용할 수 있습니다. 별표 문자를 리터럴로 사용하려면 앞에 백슬래시 문자(\$1)를 추가하여 이스케이프합니다.
모든 접두사는 암시적 '\$1'로 끝납니다. 즉, 접두사 내의 모든 경로가 포함됩니다.
AWS CLI를 사용하여 액세스 포인트의 범위를 수정할 때 기존 범위를 바꿉니다.
```
aws s3control put-access-point-scope --name my-access-point--zoneID--xa-s3 --account-id 111122223333 --scope Prefixes=string,Permissions=string
```
자세한 내용과 예제는 AWS CLI 명령 참조의 [put-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-access-point-scope.html)를 참조하세요.
### REST API 사용
다음 `PutAccessPointScope` 예제 요청은 REST API를 사용하여 액세스 포인트의 범위를 수정하는 방법을 보여줍니다.
다음 요청은 AWS 계정 *111122223333*에 대한 **my-access-point**--*zoneID*--xa-s3의 액세스 포인트 범위를 수정합니다.
**참고**
별표(\$1) 문자를 사용하여 접두사에 와일드카드를 사용할 수 있습니다. 별표 문자를 리터럴로 사용하려면 앞에 백슬래시 문자(\$1)를 추가하여 이스케이프합니다.
모든 접두사는 암시적 '\$1'로 끝납니다. 즉, 접두사 내의 모든 경로가 포함됩니다.
API를 사용하여 액세스 포인트의 범위를 수정할 때 기존 범위를 바꿉니다.
```
PUT /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
Jane/*
PutObject
GetObject
```
### AWS SDK 사용
AWS CLI, AWS SDK 또는 REST API를 사용하여 액세스 포인트의 범위를 수정할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [지원되는 SDK 목록](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointScope.html#API_control_PutAccessPointScope_SeeAlso)을 참조하세요.
## 디렉터리 버킷의 액세스 포인트 범위 삭제
AWS Management Console, AWS Command Line Interface, REST API 또는 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트 범위를 삭제할 수 있습니다.
**참고**
액세스 포인트의 범위를 삭제하면 모든 접두사와 권한이 삭제됩니다.
### S3 콘솔 사용
**액세스 포인트 범위 삭제**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 액세스 포인트를 나열하려는 리전을 선택합니다.
1. 콘솔 왼쪽의 탐색 창에서 **디렉토리 버킷용 액세스 포인트**를 선택합니다.
1. (선택 사항) 이름으로 액세스 포인트를 검색합니다. 선택한 AWS 리전의 액세스 포인트만 여기에 표시됩니다.
1. 관리할 액세스 포인트의 이름을 선택합니다.
1. **권한** 탭을 선택합니다.
1. **액세스 포인트 범위**에서 **삭제**를 선택합니다.
1. **이 삭제를 확인하려면 ‘확인’을 입력하세요.** 필드에 **confirm**을 입력합니다.
1. **삭제**를 선택합니다.
### AWS CLI 사용
다음 `delete-access-point-scope` 예시 명령은 AWS CLI를 사용하여 액세스 포인트 범위를 삭제하는 방법을 보여줍니다.
다음 명령은 AWS 계정 *111122223333*에 대한 액세스 포인트 **my-access-point**--*zoneID*--xa-s3의 범위를 삭제합니다.
```
aws s3control delete-access-point-scope --name my-access-point--region-zoneID--xa-s3 --account-id 111122223333
```
자세한 내용과 예제는 AWS CLI 명령 참조의 [delete-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-scope.html)를 참조하세요.
### REST API 사용
다음 요청은 AWS 계정 *111122223333*에 대한 액세스 포인트 **my-access-point**--*zoneID*--xa-s3의 범위를 삭제합니다.
```
DELETE /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
### AWS SDK 사용
AWS SDK를 사용하여 액세스 포인트의 범위를 삭제할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [지원되는 SDK 목록](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointScope.html#API_control_DeleteAccessPointScope_SeeAlso)을 참조하세요.
# 디렉터리 버킷의 액세스 포인트 삭제
이 섹션에서는 AWS Management Console, AWS Command Line Interface, REST API 또는 AWS SDK를 사용하여 액세스 포인트를 삭제하는 방법을 설명합니다.
**참고**
액세스 포인트에 연결된 디렉터리 버킷을 삭제하려면 먼저 액세스 포인트를 삭제해야 합니다.
## S3 콘솔 사용
**AWS 계정의 디렉터리 버킷용 액세스 포인트를 삭제하는 방법**
1. AWS Management Console에 로그인한 후 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 현재 표시된 AWS 리전의 이름을 선택합니다. 그런 다음 액세스 포인트를 나열하려는 리전을 선택합니다.
1. 콘솔 왼쪽의 탐색 창에서 **디렉토리 버킷용 액세스 포인트**를 선택합니다.
1. (선택 사항) 이름으로 액세스 포인트를 검색합니다. 선택한 AWS 리전의 액세스 포인트만 여기에 표시됩니다.
1. 삭제할 액세스 포인트의 이름을 선택합니다.
1. **삭제**를 선택합니다.
1. **confirm**을 입력한 후 **삭제**를 선택하여 삭제를 확인합니다.
## AWS CLI 사용
다음 `delete-access-point` 예시 명령은 AWS CLI를 사용하여 액세스 포인트를 삭제하는 방법을 보여줍니다.
다음 명령은 AWS 계정 *111122223333*에 대한 액세스 포인트 **my-access-point**--*zoneID*--xa-s3을 삭제합니다.
```
aws s3control delete-access-point --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
자세한 내용과 예제는 **AWS CLI 명령 참조에서 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html)를 참조하십시오.
## REST API 사용
REST API를 사용하여 액세스 포인트를 삭제할 수 있습니다. 자세한 내용은 *Amazon Simple Storage Service API 참조*에서 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html)를 참조하세요.
## AWS SDK 사용
AWS SDK를 사용하여 액세스 포인트를 삭제할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service API 참조의 [지원되는 SDK 목록](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html#API_control_DeleteAccessPoint_SeeAlso)을 참조하세요.
# 디렉터리 버킷에 대해 S3 Access Points에서 태그 사용
AWS 태그는 리소스, 이 경우 디렉터리 버킷에 대한 Amazon S3 Access Points를 포함하는 키-값 페어입니다. 액세스 포인트를 만들거나 기존 액세스 포인트에서 태그를 관리할 때 액세스 포인트에 태그를 지정할 수 있습니다. 태그에 대한 일반적인 정보는 [비용 할당 또는 속성 기반 액세스 제어(ABAC)를 위한 태그 지정](tagging.md) 섹션을 참조하세요.
**참고**
디렉터리 버킷에 대해 액세스 포인트에 태그를 사용하는 데 표준 S3 API 요청 요금 외에는 추가 요금이 부과되지 않습니다. 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.
## 디렉터리 버킷에 대한 액세스 포인트와 함께 태그를 사용하는 일반적인 방법
속성 기반 액세스 제어(ABAC)를 사용하면 액세스 권한의 규모를 조정하고 태그를 기반으로 디렉터리 버킷의 액세스 포인트에 대한 액세스 권한을 부여할 수 있습니다. Amazon S3의 ABAC에 대한 자세한 내용은 [Using tags for ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac)를 참조하세요.
### S3 Access Points에 대한 ABAC
Amazon S3 Access Points는 태그를 사용한 속성 기반 액세스 제어(ABAC)를 지원합니다. AWS 조직, IAM 및 Access Points 정책에서 태그 기반 조건 키를 사용합니다. 엔터프라이즈의 경우 Amazon S3의 ABAC는 여러 AWS 계정에 대한 권한 부여를 지원합니다.
IAM 정책에서 다음 [전역 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys)를 사용하여 버킷의 태그를 기반으로 디렉터리 버킷의 액세스 포인트에 대한 액세스를 제어할 수 있습니다.
+ `aws:ResourceTag/key-name`
+ 이 키를 사용하여 정책에서 지정한 태그 키-값 쌍을 리소스에 연결된 키-값 쌍과 비교합니다. 예를 들어 리소스에 값이 `Dept`인 태그 키 `Marketing`와 연결된 경우에만 리소스에 대한 액세스가 필요할 수 있습니다. 자세한 내용은 [AWS 리소스에 대한 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)를 참조하십시오.
+ `aws:RequestTag/key-name`
+ 이 키를 사용하여 요청에서 전달된 태그 키 값 페어를 정책에서 지정한 태그 페어와 비교합니다. 예를 들어, 요청에 태그 키 `Dept`가 포함되어 있으며 값이 `Accounting`인지 확인할 수 있습니다. 자세한 내용은 [AWS 요청 중 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests)를 참조하세요. 이 조건 키를 사용하여 `TagResource` 및 `CreateAccessPoint` API 작업 중에 전달할 수 있는 태그 키-값 페어를 제한할 수 있습니다.
+ `aws:TagKeys`
+ 이 키를 사용하여 요청의 태그 키를 정책에서 지정한 키와 비교합니다. 정책을 사용하여 태그를 통해 액세스를 제어할 때 `aws:TagKeys` 조건 키를 사용하여 어떤 태그 키가 허용되는지 정의하는 것이 좋습니다. 예시 정책과 자세한 내용은 [태그 키를 기반으로 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys)를 참조하세요. 태그가 있는 디렉터리 버킷에 대한 액세스 포인트를 만들 수 있습니다. `CreateAccessPoint` API 작업 중에 태그 지정을 허용하려면 `s3express:TagResource` 및 `s3express:CreateAccessPoint` 작업을 모두 포함하는 정책을 생성해야 합니다. 그런 다음 `aws:TagKeys` 조건 키를 사용하여 `CreateAccessPoint` 요청 내 특정 태그 사용을 강제 적용할 수 있습니다.
+ `s3express:AccessPointTag/tag-key`
+ 이 조건 키를 사용하여 태그를 사용하는 액세스 포인트를 통해 특정 데이터에 권한을 부여합니다. IAM 정책에서 `aws:ResourceTag/tag-key`를 사용할 때는 액세스 포인트와 해당 액세스 포인트가 가리키는 버킷 모두 동일한 태그를 가져야 합니다. 이는 두 리소스 모두가 권한 부여 시 고려되기 때문입니다. access-point 태그만을 사용해 데이터에 대한 액세스를 제어하려는 경우 `s3express:AccessPointTag/tag-key` 조건 키를 사용할 수 있습니다.
### 디렉터리 버킷의 액세스 포인트에 대한 ABAC 정책 예제
디렉터리 버킷의 액세스 포인트에 대한 다음 ABAC 정책 예제를 확인하세요.
#### 1.1 - 특정 태그가 있는 액세스 포인트를 만들거나 수정하는 IAM 정책
이 IAM 정책에서 이 정책을 사용하는 사용자 또는 역할은 액세스 포인트 생성 요청에서 태그 키 `project` 및 태그 값 `Trinity`로 액세스 포인트에 태그를 지정하는 경우에만 액세스 포인트를 만들 수 있습니다. `TagResource` 요청에 태그 키-값 페어 `project:Trinity`가 포함되어 있는 한 디렉터리 버킷에 대한 기존 액세스 포인트에 태그를 추가하거나 수정할 수도 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3express:CreateAccessPoint",
"s3express:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 - 태그를 사용하여 버킷에 대한 작업을 제한하는 액세스 포인트 정책
이 액세스 포인트 정책에서 IAM 위탁자(사용자 및 역할)는 액세스 포인트의 `project` 태그의 값이 위탁자의 `project` 태그 값과 일치하는 경우에만 액세스 포인트에 대한 `CreateSession` 작업을 사용하여 작업을 수행할 수 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3express:CreateSession",
"Resource": "arn:aws::s3express:region:111122223333:access-point/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 - 태그 지정 거버넌스를 유지 관리하는 기존 리소스의 태그를 수정하는 IAM 정책
이 IAM 정책에서 IAM 위탁자(사용자 또는 역할)는 액세스 포인트의 `project` 태그 값이 위탁자의 `project` 태그 값과 일치하는 경우에만 액세스 포인트의 태그를 수정할 수 있습니다. 이러한 액세스 포인트에는 `aws:TagKeys` 조건 키에 지정된 태그 네 개, 즉 `project`, `environment`, `owner` 및 `cost-center`만 허용됩니다. 이렇게 하면 태그 거버넌스를 강제 적용하고, 무단 태그 수정을 방지하고, 액세스 포인트 간에 태그 지정 스키마를 일관되게 유지할 수 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3express:TagResource"
],
"Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 - s3express:AccessPointTag 조건 키 사용
이 IAM 정책에서 조건문은 버킷 액세스에 사용되는 액세스 포인트에 태그 키 `Environment` 및 태그 값 `Production`이 있는 경우에만 버킷의 데이터에 대한 액세스를 허용합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3express:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## 디렉터리 버킷의 액세스 포인트에 대한 태그 작업
Amazon S3 콘솔, AWS Command Line Interface(CLI), AWS SDK를 사용하거나 S3 API [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), [UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) 및 [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)를 사용하여 디렉터리 버킷의 액세스 포인트에 대한 태그를 추가하거나 관리할 수 있습니다. 자세한 내용은 다음을 참조하세요.
**Topics**
+ [
## 디렉터리 버킷에 대한 액세스 포인트와 함께 태그를 사용하는 일반적인 방법
](#common-ways-to-use-tags-access-points-db)
+ [
## 디렉터리 버킷의 액세스 포인트에 대한 태그 작업
](#working-with-tags-access-points-db)
+ [
# 태그가 있는 디렉터리 버킷의 액세스 포인트 만들기
](access-points-db-create-tag.md)
+ [
# 디렉터리 버킷의 액세스 포인트에 태그 추가
](access-points-db-tag-add.md)
+ [
# 디렉터리 버킷의 액세스 포인트 태그 보기
](access-points-db-tag-view.md)
+ [
# 디렉터리 버킷의 액세스 포인트에서 태그 삭제
](access-points-db-tag-delete.md)
# 태그가 있는 디렉터리 버킷의 액세스 포인트 만들기
디렉터리 버킷의 Amazon S3 Access Points를 만들 때 태그를 지정할 수 있습니다. 자세한 내용은 [디렉터리 버킷에 대해 S3 Access Points에서 태그 사용](access-points-db-tagging.md) 섹션을 참조하세요.
## 권한
태그가 있는 디렉터리 버킷의 액세스 포인트를 만들려면 다음 권한이 있어야 합니다.
+ `s3express:CreateAccessPoint`
+ `s3express:TagResource`
## 오류 해결
태그가 있는 디렉터리 버킷의 액세스 포인트를 만들려고 할 때 오류가 발생하면 다음을 수행할 수 있습니다.
+ 디렉터리 버킷의 액세스 포인트를 만들고 여기에 태그를 추가하는 데 필요한 [권한](#access-points-db-create-tag-permissions)이 있는지 확인합니다.
+ IAM 사용자 정책에서 속성 기반 액세스 제어(ABAC) 조건을 확인합니다. 디렉터리 버킷의 액세스 포인트에 특정 태그 키 및 값으로만 레이블을 지정해야 할 수 있습니다. 자세한 내용은 [속성 기반 액세스 제어(ABAC)에 태그 사용](tagging.md#using-tags-for-abac) 섹션을 참조하세요.
## 단계
Amazon S3 콘솔, AWS Command Line Interface(AWS CLI), Amazon S3 REST API, AWS SDK를 사용하여 태그가 적용된 디렉터리 버킷의 액세스 포인트를 만들 수 있습니다.
## S3 콘솔 사용
Amazon S3 콘솔을 사용하여 태그가 있는 디렉터리 버킷의 액세스 포인트 만들기:
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔에 로그인합니다.
1. 왼쪽 탐색 창에서 **Access Points(디렉터리 버킷)**를 선택합니다.
1. **액세스 포인트 생성**을 선택하여 새 액세스 포인트를 만듭니다.
1. 액세스 포인트의 이름을 입력합니다. 자세한 내용은 [디렉터리 버킷의 액세스 포인트 이름 지정 규칙, 제한 및 한계](access-points-directory-buckets-restrictions-limitations-naming-rules.md) 섹션을 참조하세요.
1. **액세스 포인트 생성** 페이지에서 **태그**는 새 액세스 포인트를 만들 때의 옵션입니다.
1. **새 태그 추가**를 선택하여 태그 편집기를 열고 태그 키-값 페어를 입력합니다. 태그 키는 필수지만 값은 선택 사항입니다.
1. 다른 태그를 추가하려면 **새 태그 추가**를 다시 선택합니다. 최대 50개의 태그 키-값 페어를 입력할 수 있습니다.
1. 새 액세스 포인트에 대한 옵션 지정을 완료한 후 **액세스 포인트 생성**을 선택합니다.
## AWS SDK 사용
------
#### [ SDK for Java 2.x ]
이 예제에서는 AWS SDK for Java 2.x를 사용하여 태그가 있는 액세스 포인트를 만드는 방법을 보여줍니다. 명령을 사용하려면 *사용자 입력 자리 표시자*를 사용자의 정보로 대체합니다.
```
CreateAccessPointRequest createAccessPointRequest = CreateAccessPointRequest.builder()
.accountId(111122223333)
.name(my-access-point)
.bucket(amzn-s3-demo-bucket--zone-id--x-s3)
.tags(Collections.singletonList(Tag.builder().key("key1").value("value1").build()))
.build();
awss3Control.createAccessPoint(createAccessPointRequest);
```
------
## REST API 사용
태그가 있는 디렉터리 버킷을 만들기 위한 Amazon S3 REST API 지원에 대한 자세한 내용은 *Amazon Simple Storage Service API 참조*의 다음 섹션을 참조하세요.
+ [:CreateBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
## AWS CLI 사용
AWS CLI를 설치하려면 *AWS Command Line Interface 사용 설명서*에서 [AWS 설치](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)를 참조하세요.
다음 CLI 예제는 AWS CLI를 사용하여 태그가 있는 디렉터리 버킷의 액세스 포인트를 만드는 방법을 보여줍니다. 명령을 사용하려면 *사용자 입력 자리 표시자*를 사용자의 정보로 대체합니다.
디렉터리 버킷의 액세스 포인트를 만들 때는 구성 세부 정보를 제공하고 다음과 같은 이름 지정 규칙을 사용해야 합니다. `my-access-point`
**요청**
```
aws s3control create-access-point \
--account-id 111122223333 \
--name my-access-point \
--bucket amzn-s3-demo-bucket--zone-id--x-s3 \
--profile personal \
--tags Key=key1,Value=value1 Key=MyKey2,Value=value2 \
--region region
```
# 디렉터리 버킷의 액세스 포인트에 태그 추가
디렉터리 버킷의 Amazon S3 Access Points에 태그를 추가하고 이러한 태그를 수정할 수 있습니다. 자세한 내용은 [디렉터리 버킷에 대해 S3 Access Points에서 태그 사용](access-points-db-tagging.md) 섹션을 참조하세요.
## 권한
디렉터리 버킷의 액세스 포인트에 태그를 추가하려면 다음 권한이 있어야 합니다.
+ `s3express:TagResource`
## 오류 해결
디렉터리 버킷의 액세스 포인트에 태그를 추가하려고 할 때 오류가 발생하면 다음을 수행할 수 있습니다.
+ 디렉터리 버킷의 액세스 포인트에 태그를 추가하는 데 필요한 [권한](#access-points-db-tag-add-permissions)이 있는지 확인합니다.
+ AWS 예약된 접두사 `aws:`로 시작하는 태그 키를 추가하려고 했다면 태그 키를 변경하고 다시 시도합니다.
## 단계
Amazon S3 콘솔, AWS Command Line Interface(AWS CLI), Amazon S3 REST API, AWS SDK를 사용해 디렉터리 버킷의 액세스 포인트에 태그를 추가할 수 있습니다.
## S3 콘솔 사용
Amazon S3 콘솔을 사용하여 디렉터리 버킷의 액세스 포인트에 태그 추가:
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔에 로그인합니다.
1. 왼쪽 탐색 창에서 **Access Points(디렉터리 버킷)**를 선택합니다.
1. 액세스 포인트 이름을 선택합니다.
1. **속성** 탭을 선택합니다.
1. **태그** 섹션으로 스크롤하고 **새 태그 추가**를 선택합니다.
1. **태그 추가** 페이지가 열립니다. 최대 50개의 태그 키-값 페어를 입력할 수 있습니다.
1. 키 이름이 기존 태그와 동일한 새 태그를 추가하는 경우 새 태그의 값이 기존 태그의 값을 덮어씁니다.
1. 이 페이지에서 기존 태그의 값을 편집할 수도 있습니다.
1. 태그를 추가한 후 **변경 사항 저장**을 선택합니다.
## AWS SDK 사용
------
#### [ SDK for Java 2.x ]
이 예시는 AWS SDK for Java 2.x를 사용하여 디렉터리 버킷의 액세스 포인트에 태그를 추가하는 방법을 보여줍니다. 명령을 사용하려면 *사용자 입력 자리 표시자*를 사용자의 정보로 대체합니다.
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.Tag;
import software.amazon.awssdk.services.s3control.model.TagResourceRequest;
import software.amazon.awssdk.services.s3control.model.TagResourceResponse;
public class TagResourceExample {
public static void tagResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
TagResourceRequest tagResourceRequest = TagResourceRequest.builder()
.resourceArn("arn:aws::s3:region:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.tags(Tag.builder().key("key1").value("value1").build())
.build();
TagResourceResponse response = s3Control.tagResource(tagResourceRequest);
System.out.println("Status code (should be 204):");
System.out.println(response.sdkHttpResponse().statusCode());
}
}
```
------
## REST API 사용
디렉터리 버킷의 액세스 포인트에 태그를 추가하기 위한 Amazon S3 REST API 지원에 대한 자세한 내용은 *Amazon Simple Storage Service API 참조*의 다음 섹션을 참조하세요.
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)
## AWS CLI 사용
AWS CLI를 설치하려면 *AWS Command Line Interface 사용 설명서*에서 [AWS 설치](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)를 참조하세요.
다음 CLI 예시는 AWS CLI를 사용하여 디렉터리 버킷에 태그를 추가하는 방법을 보여줍니다. 명령을 사용하려면 *사용자 입력 자리 표시자*를 사용자의 정보로 대체합니다.
**요청:**
```
aws s3control tag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3express:region:444455556666:bucket/prefix--use1-az4--x-s3 \
--tags "Key=key1,Value=value1"
```
**응답:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 200,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```
# 디렉터리 버킷의 액세스 포인트 태그 보기
디렉터리 버킷의 Amazon S3 Access Points에 적용된 태그를 보거나 나열할 수 있습니다. 자세한 내용은 [S3 디렉터리 버킷에서 태그 사용](directory-buckets-tagging.md) 섹션을 참조하세요.
## 권한
액세스 포인트에 적용된 태그를 보려면 다음 권한이 있어야 합니다.
+ `s3express:ListTagsForResource`
## 오류 해결
디렉터리 버킷의 액세스 포인트 태그를 나열하거나 보려고 할 때 오류가 발생하면 다음을 수행할 수 있습니다.
+ 디렉터리 버킷의 액세스 포인트 태그를 보거나 나열하는 데 필요한 [권한](#access-points-db-tag-view-permissions)이 있는지 확인합니다.
## 단계
Amazon S3 콘솔, AWS Command Line Interface(AWS CLI), Amazon S3 REST API 및 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트에 적용된 태그를 볼 수 있습니다.
## S3 콘솔 사용
Amazon S3 콘솔을 사용하여 디렉터리 버킷의 액세스 포인트에 적용된 태그 보기:
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔에 로그인합니다.
1. 왼쪽 탐색 창에서 **Access Points(디렉터리 버킷)**를 선택합니다.
1. 액세스 포인트 이름을 선택합니다.
1. **속성** 탭을 선택합니다.
1. **태그** 섹션으로 스크롤하여 디렉터리 버킷의 액세스 포인트에 적용된 모든 태그를 봅니다.
1. **태그** 섹션에는 기본적으로 **사용자 정의 태그**가 표시됩니다. **AWS가 생성한 태그** 탭을 선택하여 AWS 서비스가 액세스 포인트에 적용한 태그를 볼 수 있습니다.
## AWS SDK 사용
이 섹션에서는 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트에 적용된 태그를 보는 방법의 예를 제공합니다.
------
#### [ SDK for Java 2.x ]
이 예시는 AWS SDK for Java 2.x를 사용하여 디렉터리 버킷의 액세스 포인트에 적용된 태그를 보는 방법을 보여줍니다.
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceRequest;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceResponse;
public class ListTagsForResourceExample {
public static void listTagsForResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
ListTagsForResourceRequest listTagsForResourceRequest = ListTagsForResourceRequest.builder()
.resourceArn("arn:aws::s3:us-west-2:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.build();
ListTagsForResourceResponse response = s3Control.listTagsForResource(listTagsForResourceRequest);
System.out.println("Tags on my resource:");
System.out.println(response.toString());
}
}
```
------
## REST API 사용
디렉터리 버킷에 적용된 태그를 보기 위한 Amazon S3 REST API 지원에 대한 자세한 내용은 *Amazon Simple Storage Service API 참조*의 다음 섹션을 참조하세요.
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)
## AWS CLI 사용
AWS CLI를 설치하려면 *AWS Command Line Interface 사용 설명서*에서 [AWS 설치](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)를 참조하세요.
다음 CLI 예시에서는 디렉터리 버킷의 액세스 포인트에 적용된 태그를 보는 방법을 보여줍니다. 명령을 사용하려면 *사용자 입력 자리 표시자*를 사용자의 정보로 대체합니다.
**요청**
```
aws s3control list-tags-for-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3express:region:444455556666:bucket/prefix--use1-az4--x-s3 \
```
**응답 - 태그 있음:**
```
{
"Tags": [
{
"Key": "MyKey1",
"Value": "MyValue1"
},
{
"Key": "MyKey2",
"Value": "MyValue2"
},
{
"Key": "MyKey3",
"Value": "MyValue3"
}
]
}
```
**응답 - 태그 없음:**
```
{
"Tags": []
}
```
# 디렉터리 버킷의 액세스 포인트에서 태그 삭제
디렉터리 버킷의 Access Points에서 태그를 제거할 수 있습니다. 자세한 내용은 [디렉터리 버킷에 대해 S3 Access Points에서 태그 사용](access-points-db-tagging.md) 섹션을 참조하세요.
**참고**
태그를 삭제하고 나중에 비용 추적 또는 액세스 제어에 사용 중이었다는 것을 알게 되면 디렉터리 버킷의 액세스 포인트에 태그를 다시 추가할 수 있습니다.
## 권한
디렉터리 버킷의 액세스 포인트에서 태그를 삭제하려면 다음 권한이 있어야 합니다.
+ `s3express:UntagResource`
## 오류 해결
디렉터리 버킷의 액세스 포인트에서 태그를 삭제하려고 할 때 오류가 발생하면 다음을 수행할 수 있습니다.
+ 디렉터리 버킷의 액세스 포인트에서 태그를 삭제하는 데 필요한 [권한](#access-points-db-tag-delete-permissions)이 있는지 확인합니다.
## 단계
Amazon S3 콘솔, AWS Command Line Interface(AWS CLI), Amazon S3 REST API 및 AWS SDK를 사용하여 디렉터리 버킷의 액세스 포인트에서 태그를 삭제할 수 있습니다.
## S3 콘솔 사용
Amazon S3 콘솔을 사용하여 디렉터리 버킷의 액세스 포인트에서 태그 삭제:
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔에 로그인합니다.
1. 왼쪽 탐색 창에서 **Access Points(디렉터리 버킷)**를 선택합니다.
1. 액세스 포인트 이름을 선택합니다.
1. **속성** 탭을 선택합니다.
1. **태그** 섹션으로 스크롤하여 삭제하려는 태그 옆의 확인란을 선택합니다.
1. **삭제**를 선택합니다.
1. **사용자 정의 태그 삭제** 팝업이 나타나고 선택한 태그 삭제를 확인하라는 메시지가 표시됩니다.
1. [**삭제**]를 선택하여 확인합니다.
## AWS SDK 사용
------
#### [ SDK for Java 2.x ]
이 예시는 AWS SDK for Java 2.x를 사용하여 디렉터리 버킷에서 태그를 삭제하는 방법을 보여줍니다. 명령을 사용하려면 *사용자 입력 자리 표시자*를 사용자의 정보로 대체합니다.
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceRequest;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceResponse;
public class ListTagsForResourceExample {
public static void listTagsForResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
UntagResourceRequest untagResourceRequest = UntagResourceRequest.builder()
.resourceArn("arn:aws::s3:region:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.tagKeys("key1")
.build();
UntagResourceResponse response = s3Control.untagResource(untagResourceRequest);
System.out.println("Status code (should be 204):");
System.out.println(response.sdkHttpResponse().statusCode());
}
}
```
------
## REST API 사용
액세스 포인트에서 태그를 삭제하기 위한 Amazon S3 REST API 지원에 대한 자세한 내용은 *Amazon Simple Storage Service API 참조*의 다음 섹션을 참조하세요.
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)
## AWS CLI 사용
AWS CLI를 설치하려면 *AWS Command Line Interface 사용 설명서*에서 [AWS 설치](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)를 참조하세요.
다음 CLI 예제는 AWS CLI를 사용하여 액세스 포인트에서 태그를 삭제하는 방법을 보여줍니다. 명령을 사용하려면 *사용자 입력 자리 표시자*를 사용자의 정보로 대체합니다.
**요청:**
```
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:111122223333:accesspoint/my-access-point/* \
--tag-keys "key1" "key2"
```
**응답:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 204,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```