Amazon S3 버킷에 데이터 내보내기 설정 - AWS Data Exports

Amazon S3 버킷에 데이터 내보내기 설정

데이터 내보내기를 수신하고 저장하려면 AWS 계정에 Amazon S3 버킷이 있어야 합니다. 콘솔에서 내보내기를 생성할 때 소유한 기존 S3 버킷을 선택하거나 새 버킷을 생성할 수 있습니다. 어느 경우든 다음 기본 S3 버킷 정책의 적용을 검토 및 확인해야 합니다. Amazon S3 콘솔에서 이 정책을 편집하거나 내보내기를 생성한 후 S3 버킷 소유자를 변경하면 데이터 내보내기가 내보내기를 전송할 수 없습니다. S3 버킷에 내보내기 데이터를 저장하면 표준 Amazon S3 요금이 청구됩니다. 자세한 내용은 할당량 및 제한을 참조하세요.

참고

내보내기를 생성하는 계정은 AWS가 보고서를 보내는 대상 S3 버킷도 소유해야 합니다. 다른 계정이 소유한 S3 버킷으로 전송하도록 내보내기를 구성할 수 없습니다.

데이터 내보내기를 생성할 때 모든 S3 버킷에 다음 정책이 적용됩니다.

이 S3 버킷 정책은 데이터 내보내기가 내보내기를 생성한 계정을 대신하여 S3 버킷으로만 내보내기를 전송할 수 있도록 합니다. 또한 내보내기를 생성한 계정이 여전히 S3 버킷을 소유하고 있는지 데이터 내보내기가 확인할 수 있습니다.

  • S3 버킷에 내보내기를 전송하려면 AWS에 해당 S3 버킷에 대한 쓰기 권한이 필요합니다. 이를 위해 S3 버킷 정책은 소유한 S3 버킷(arn:aws:s3:::<EXAMPLE-BUCKET>/*)에 보고서를 전달(s3:PutObject)할 수 있는 서비스(bcm-data-exports.amazonaws.com) 권한을 부여합니다.

  • 데이터 내보내기에서 S3 버킷에 쓰기 요청을 할 때마다 내보내기를 생성한 계정의 계정 ID를 제공해야 합니다. aws:SourceArnaws:SourceAccount 조건 키가 이를 적용합니다.

  • 이 S3 버킷 정책은 전송된 이후의 비용 및 사용량 보고서를 포함하여 S3 버킷에 있는 객체를 읽거나 삭제할 AWS 권한을 부여하지 않습니다.

액세스 제어 목록(ACL)이 활성화된 Amazon S3 버킷의 경우 데이터 내보내기는 보고서를 전송할 때 보고서에 BucketOwnerFullControl ACL을 추가로 적용합니다. 기본적으로 이러한 보고서와 같은 Amazon S3 객체는 해당 객체를 작성한 사용자 또는 서비스 주체만 읽을 수 있습니다. 사용자 또는 S3 버킷 소유자에게 보고서를 읽을 수 있는 권한을 제공하려면 AWS가 BucketOwnerFullControl ACL을 적용해야 합니다. ACL은 S3 버킷 소유자에게 이 보고서에 대한 Permission.FullControl 권한을 부여합니다. 하지만 ACL을 비활성화하고 S3 버킷 정책을 사용하여 액세스를 제어하는 것이 좋습니다.

참고

새로 만든 S3 버킷의 경우 기본적으로 ACL이 비활성화됩니다. 자세한 내용은 객체 소유권 제어 및 버킷에 대해 ACL 사용 중지를 참조하십시오.

데이터 내보내기 콘솔 페이지에 잘못된 버킷 오류가 표시되는 경우 보고서 설정 이후 정책 및 S3 버킷 소유권이 변경되지 않았는지 확인하세요.