기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Amazon S3 버킷에 액세스할 수 있는 권한 부여 파일 공유를 생성할 때 File Gateway는 Amazon S3 버킷에 파일을 업로드하고 버킷에 연결하는 데 사용하는 액세스 포인트 또는 가상 프라이빗 클라우드(VPC) 엔드포인트에서 작업을 수행할 수 있는 액세스 권한이 필요합니다. 이 액세스 권한을 부여하기 위해 File Gateway는이 액세스 권한을 부여하는 IAM 정책과 연결된 AWS Identity and Access Management (IAM) 역할을 수임합니다. 이 역할에는 IAM 정책과 이 정책에 대한 보안 토큰 서비스 신뢰(STS) 관계가 필요합니다. 이 정책에 따라 역할이 실행할 수 있는 작업이 결정됩니다. 또한 S3 버킷 및 연결된 액세스 포인트 또는 VPC 엔드포인트에는 IAM 역할이 액세스할 수 있도록 허용하는 액세스 정책이 있어야 합니다. 역할 및 액세스 정책을 직접 생성하거나 File Gateway에서 대신 생성할 수 있습니다. File Gateway에서 이러한 정책을 대신 생성한 경우 해당 정책에는 S3 작업 목록이 포함됩니다. 역할 및 권한에 대한 자세한 내용은 *IAM 사용 설명서*의 [역할을 만들어 AWS 서비스에 권한 위임](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)을 참조하세요. 다음 예는 File Gateway가 IAM 역할을 수임하도록 허용하는 신뢰 정책입니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ **중요** Storage Gateway는 `iam:PassRole` 정책 작업을 사용하여 전달된 기존 서비스 역할을 수임할 수 있지만 `iam:PassedToService` 컨텍스트 키를 사용하여 작업을 특정 서비스로 제한하는 IAM 정책은 지원하지 않습니다. 자세한 내용은AWS Identity and Access Management 사용 설명서**에서 다음 주제를 참조하세요. [IAM: 특정 AWS 서비스에 IAM 역할 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html) [사용자에게 AWS 서비스에 역할을 전달할 수 있는 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) [IAM에 사용 가능한 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService) File Gateway에서 사용자 대신 정책을 생성하도록 하지 않으려는 경우 정책을 직접 생성하여 파일 공유에 연결합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 [파일 공유 생성](GettingStartedCreateFileShare.md) 섹션을 참조하세요. 다음 예제 정책은 File Gateway에서 정책에 나열된 모든 Amazon S3 작업을 수행하도록 허용합니다. 설명문의 첫 번째 부분은 S3 버킷 `amzn-s3-demo-bucket`에 대해 나열된 모든 작업을 수행하도록 허용합니다. 두 번째 부분은 `amzn-s3-demo-bucket`의 모든 객체에 대해 나열된 작업을 허용합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Effect": "Allow" } ] } ``` ------ 다음 예제 정책은 이전 정책과 유사하지만 File Gateway가 액세스 포인트를 통해 버킷에 액세스하는 데 필요한 작업을 수행하도록 허용합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:{{111122223333}}:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] } ``` ------ **참고** VPC 엔드포인트를 통해 파일 공유를 S3 버킷에 연결해야 하는 경우 *AWS PrivateLink 사용 설명서*의 [Amazon S3에 대한 엔드포인트 정책](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)을 참조하세요. **참고** 암호화된 버킷의 경우 파일 공유는 대상 S3 버킷 계정의 키를 사용해야 합니다.