View a markdown version of this page

Amazon S3 액세스 포인트에 대한 네트워크 액세스 구성 - FSx for ONTAP
Amazon S3가 액세스 포인트 요청을 평가하는 방법네트워크 오리진 선택VPC 오리진 적용 작동 방식Amazon S3 액세스 포인트에서 VPC 엔드포인트 사용액세스 포인트 정책예제 시나리오네트워크 액세스 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon S3 액세스 포인트에 대한 네트워크 액세스 구성

FSx for ONTAP 볼륨에 대한 Amazon S3 액세스 포인트를 생성할 때 네트워크를 통해 액세스 포인트에 도달하는 방법과 이를 사용할 권한이 있는 사용자를 구성합니다. 이 섹션에서는 환경에 적합한 네트워크 및 액세스 제어 구성을 선택하는 데 도움이 됩니다.

이 섹션에서는 네트워크 및 IAM 권한 부여 계층, 특히 액세스 포인트의 네트워크 오리진, VPC 엔드포인트, 액세스 포인트 정책, VPC 엔드포인트 정책, IAM 자격 증명 정책 및 서비스 제어 정책을 다룹니다. 파일 시스템 수준 권한 부여(UNIX 및 Windows 사용자 권한)에 대한 자세한 내용은 섹션을 참조하세요파일 시스템 사용자 자격 증명 및 권한 부여.

Amazon S3가 액세스 포인트 요청을 평가하는 방법

FSx for ONTAP 볼륨에 연결된 Amazon S3 액세스 포인트를 통해 요청이 이루어진 경우 다음 계층 모두에서 요청을 승인해야 합니다.

  • 네트워크 오리진 검사 - 액세스 포인트에 VPC 네트워크 오리진이 있는 경우 요청은 바인딩된 VPC의 VPC 엔드포인트를 통해 도착해야 합니다. 그렇지 않으면 정책 평가가 발생하기 전에 요청이 거부됩니다.

  • VPC 엔드포인트 정책 - 요청이 VPC 엔드포인트를 통과하는 경우 엔드포인트의 정책은 액세스 포인트 리소스에 대한 작업을 허용해야 합니다.

  • 액세스 포인트 정책 - 액세스 포인트의 IAM 리소스 정책이 평가됩니다. 동일한 계정 액세스의 경우 액세스 포인트 정책 또는 호출자의 자격 증명 정책이 액세스 권한을 부여할 수 있습니다. 교차 계정 액세스의 경우 둘 다 허용해야 합니다.

  • IAM 자격 증명 정책 - 요청하는 보안 주체의 자격 증명 기반 정책은 액세스 포인트 리소스에 대해 평가됩니다.

  • 서비스 제어 정책(SCPs) - 계정이 AWS Organizations 조직의 일부인 경우 해당 SCPs가 작업을 허용해야 합니다.

네트워크 오리진 검사는 정책 평가 전에 수행됩니다. 나머지 계층은 표준 IAM 권한 부여 결정의 일부로 함께 평가됩니다. 계층의 명시적 거부는 다른 계층의 허용 문을 재정의합니다.

네트워크 오리진 선택

Amazon S3 액세스 포인트를 생성할 때 액세스 포인트에 도달할 수 있는 방법을 결정하는 네트워크 오리진을 선택합니다. 생성 후에는 네트워크 오리진을 변경할 수 없습니다.

인터넷 오리진

인터넷 네트워크 오리진이 있는 액세스 포인트는 기본적으로 S3 버킷에 액세스하는 방식과 유사합니다. 모든 요청은 여전히 유효한 IAM 자격 증명 및 권한 부여가 필요합니다. 인터넷 오리진은 퍼블릭 또는 익명 액세스를 의미하지 않습니다. Amazon S3는 FSx for ONTAP 볼륨에 연결된 모든 액세스 포인트에 퍼블릭 액세스 차단을 적용하므로이 설정을 비활성화할 수 없습니다.

인터넷 오리진을 사용하면 인증된 요청은 VPCs, 온프레미스 네트워크, 기타 AWS 계정 또는 퍼블릭 인터넷 등 어디에서나 올 수 있습니다. 액세스 포인트 정책 및 IAM 자격 증명 정책을 사용하여 허용되는 인증된 호출자를 제어합니다.

인터넷 오리진을 사용하면 액세스 포인트 정책 및 IAM 자격 증명 정책을 사용하여 액세스를 제어할 수 있습니다. 동일 계정 호출자의 경우 액세스 포인트 정책에서 명시적 거부 문을 사용하여 액세스를 제한합니다. 호출자의 IAM 자격 증명 정책이 독립적으로 액세스 권한을 부여할 수 있으므로 허용 전용 정책으로는 충분하지 않습니다. 교차 계정 호출자의 경우 액세스 포인트 정책은 요청을 명시적으로 허용해야 하므로 허용을 생략하면 액세스를 차단하는 데 충분합니다.

VPC 오리진

VPC 네트워크 오리진이 있는 액세스 포인트는 특정 VPC에 바인딩되며가 바인딩된 VPC와 일치하지 않는 요청을 거부하는 명시적 거부 정책 설명으로 효과적으로 동작aws:SourceVpc합니다. 명시적 거부는 항상 허용을 재정의하므로 완전히 허용적인 액세스 포인트 정책 또는 IAM 자격 증명 정책이라도 바인딩된 VPC 외부의 요청에 대한 액세스 권한을 부여할 수 없습니다.

바인딩된 VPC 외부의 발신자는 트래픽이 바인딩된 VPC의 VPC 엔드포인트를 통해, 예를 들어 VPC 피어링 또는 전송 게이트웨이를 통해 바인딩된 VPC에 배포된 Amazon S3 인터페이스 엔드포인트로 라우팅되는 경우에도 액세스 포인트에 액세스할 수 있습니다.

주요 차이점

인터넷 오리진VPC 오리진
네트워크 적용 없음 - 정책으로만 제어되는 액세스 바인딩된 VPC의 VPC 엔드포인트를 통해 도착하지 않는 요청에 대한 명시적 거부
다중 VPC 액세스 정책 조건을 통해 지원됨 호출자가 바인딩된 VPC의 인터페이스 엔드포인트를 통해 라우팅하는 경우 지원(VPC 피어링 또는 전송 게이트웨이를 통해)
액세스 범위 변경 정책 업데이트 바인딩된 VPC를 변경하려면 액세스 포인트를 다시 생성해야 합니다.
VPC 엔드포인트 필요 aws:SourceVpc 조건을 사용하는 경우에만 예 - 요청은 바인딩된 VPC의 엔드포인트를 통과해야 합니다.

VPC 오리진 적용 작동 방식

액세스 포인트에 VPC 네트워크 오리진이 있는 경우가 액세스 포인트의에 지정된 VPC ID와 같aws:SourceVpc지 않은 모든 요청을 거부하는 명시적 거부 정책 문이 있는 것처럼 효과적으로 동작합니다VpcConfiguration. 이 거부는 액세스 포인트 내의 모든 보안 주체, 모든 Amazon S3 작업 및 모든 리소스에 적용됩니다.

이는 명시적 거부이므로 액세스 포인트 정책, 호출자의 IAM 자격 증명 정책 또는 기타 정책에 관계없이 모든 Allow 문을 재정의합니다.

실제로 이는 다음을 의미합니다.

  • VPC 엔드포인트만 요청의 aws:SourceVpc 속성을 채우기 때문에 요청은 바인딩된 VPC에 배포된 VPC 엔드포인트(게이트웨이 또는 인터페이스)를 통해 도착해야 합니다.

  • VPCs IDaws:SourceVpc로 채워지기 때문에 다른 VPC의 요청은 거부됩니다.

  • 가 요청에 aws:SourceVpc 없으므로 인터넷 요청은 거부됩니다.

또한 거부된 요청에 대한 오류 메시지에 "리소스 기반 정책에서 명시적 거부"라고 표시되는 이유도 여기에 있습니다.

중요

생성 후에는 액세스 포인트의 네트워크 오리진을 변경할 수 없습니다. VPC 오리진에서 인터넷 오리진으로(또는 그 반대로) 변경해야 하는 경우 액세스 포인트를 삭제하고 새 액세스 포인트를 생성해야 합니다.

명시적 거부가 있는 VPC 오리진과 인터넷 오리진 비교

VPC 오리진 액세스 포인트와 수동으로 작성된 StringNotEquals aws:SourceVpc 거부가 있는 인터넷 오리진 액세스 포인트는 비슷한 결과를 얻습니다. 둘 다 지정된 VPC의 요청이 아닌 요청을 거부합니다. 주요 차이점은 다음과 같습니다.

  • VPC 오리진: 액세스 포인트의 VPC 구성에 거부가 내장되어 있습니다. 실수로 제거하거나 잘못 구성할 수 없습니다.

  • 거부를 사용하는 인터넷 오리진: 거부를 직접 작성하고 관리합니다. 이렇게 하면 유연성(예: 여러 VPCs)이 향상되지만 책임도 증가합니다. 거부가 누락되거나 잘못 구성된 경우 제한이 적용되지 않습니다.

Amazon S3 액세스 포인트에서 VPC 엔드포인트 사용

Amazon S3 액세스 포인트는 Amazon S3에 대한 두 가지 유형의 VPC 엔드포인트에서 모두 작동합니다. 필요한 엔드포인트 유형은 호출자의 위치에 따라 다릅니다.

게이트웨이 엔드포인트

게이트웨이 엔드포인트는 무료이며 라우팅 테이블을 기반으로 합니다. 게이트웨이 엔드포인트를 생성하면 엔드포인트를 통해 Amazon S3 트래픽을 전달하는 라우팅이 지정된 라우팅 테이블에 추가됩니다. 이 경로는 VPC 내에서 시작되는 트래픽에만 적용됩니다.

게이트웨이 엔드포인트 사용 대상:

  • VPC 내의 Amazon EC2 인스턴스, Lambda 함수, Amazon ECS 태스크 및 기타 컴퓨팅 리소스

게이트웨이 엔드포인트는 다음에서 VPC로 들어오는 트래픽을 라우팅하지 않습니다.

  • VPN 또는 Direct Connect를 통한 온프레미스 네트워크

  • 피어링된 VPCs

  • 전송 게이트웨이 연결

자세한 내용은 Amazon VPC 사용 설명서의 Amazon S3용 게이트웨이 엔드포인트를 참조하세요.

인터페이스 엔드포인트

인터페이스 엔드포인트는 서브넷에 프라이빗 IP 주소를 사용하여 탄력적 네트워크 인터페이스(ENI)를 생성합니다. 트래픽은 엔드포인트의 DNS 이름 또는 프라이빗 IP로 명시적으로 전달되어야 합니다.

인터페이스 엔드포인트 사용 대상:

  • VPN 또는 Direct Connect를 통해 Amazon S3에 액세스하는 온프레미스 호출자

  • VPC 피어링을 통해 Amazon S3에 액세스하는 교차 계정 호출자

  • 트래픽이 외부에서 VPC로 들어오는 모든 시나리오

인터페이스 엔드포인트를 사용할 때 호출자는 다음 중 하나를 수행해야 합니다.

  • 인터페이스 엔드포인트의 DNS 이름을 가리키는 --endpoint-url 파라미터를 사용하거나

  • Amazon S3 엔드포인트를 인터페이스 엔드포인트의 프라이빗 IP로 확인하도록 DNS 구성(Route 53 Resolver 또는 온프레미스 DNS 전달 사용)

인터페이스 엔드포인트에는 시간당 및 GB당 요금이 부과됩니다. 자세한 내용은 AWS PrivateLinK 요금을 참조하세요.

두 엔드포인트 유형을 함께 사용

게이트웨이 엔드포인트와 인터페이스 엔드포인트를 동일한 VPC에 모두 배포할 수 있습니다. 이 구성은 VPC 내 호출자와 온프레미스 호출자가 모두 있는 경우에 유용합니다.

  • 게이트웨이 엔드포인트: VPC 내 트래픽 처리(무료, 투명)

  • 인터페이스 엔드포인트: VPN 또는 Direct Connect를 통해 들어오는 온프레미스 트래픽을 처리합니다(DNS 구성 또는 필요--endpoint-url).

두 엔드포인트 유형 모두 aws:SourceVpc 속성을 VPC ID로 채우므로 둘 다 VPC 오리진 거부 조건을 충족합니다.

VPC 엔드포인트 정책

VPC 엔드포인트 정책은 엔드포인트를 통해 액세스할 수 있는 Amazon S3 리소스를 제어합니다. 기본적으로 VPC 엔드포인트는 모든 리소스에서 모든 Amazon S3 작업을 허용합니다. 특정 액세스 포인트만 허용하도록 엔드포인트 정책의 범위를 지정할 수 있습니다.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point",
                "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*"
            ]
        }
    ]
}

액세스 포인트 정책

Amazon S3 액세스 포인트는 리소스, 사용자 또는 기타 조건별로 액세스 포인트 사용을 제어할 수 있는 AWS Identity and Access Management (IAM) 리소스 정책을 지원합니다. 교차 계정 액세스의 경우 액세스 포인트 정책과 호출자의 IAM 자격 증명 정책 모두 요청을 허용해야 합니다. 동일한 계정 액세스의 경우 액세스 포인트 정책 또는 호출자의 IAM 자격 증명 정책이 독립적으로 액세스 권한을 부여할 수 있습니다. 즉, 동일한 계정 호출자를 제한하려면 액세스 포인트 정책에서 명시적 거부 문을 사용합니다. 요청이 VPC 엔드포인트를 통과하는 경우 VPC 엔드포인트 정책도 요청을 허용해야 합니다.

액세스 포인트 정책에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서액세스 포인트를 사용하기 위한 IAM 정책 구성을 참조하세요.

네트워크 기반 액세스 제어를 위한 조건 키

IAM은 액세스 포인트 정책에서 요청의 네트워크 속성을 기반으로 액세스를 제어하는 데 사용할 수 있는 전역 조건 키를 제공합니다. 이러한 조건 키는 다음 표에 설명된 대로 특정 상황에서만 요청 컨텍스트에 포함됩니다.

조건 키가용성설명
aws:SourceVpc 요청자가 VPC 엔드포인트를 사용하여 요청하는 경우에만 요청 컨텍스트에 포함됩니다. 요청이 VPC 엔드포인트가 연결된 VPC를 통해 이동하는지 확인합니다. 이 키를 사용하여 특정 VPC에 대한 액세스만 허용합니다.
aws:SourceVpce 요청자가 VPC 엔드포인트를 사용하여 요청하는 경우에만 요청 컨텍스트에 포함됩니다. 요청이 이루어진 VPC 엔드포인트의 ID입니다.
aws:VpcSourceIp 요청이 VPC 엔드포인트를 사용하여 이루어진 경우에만 요청 컨텍스트에 포함됩니다. 요청이 수행된 IP 주소를 정책에서 지정한 IP 주소와 비교합니다. 요청이 지정된 IP 주소에서 시작되고 VPC 엔드포인트를 통과하는 경우에만 일치합니다.
aws:SourceIp 요청이 VPC 엔드포인트를 통과하지 않는 경우에만 요청 컨텍스트에 포함됩니다. 호출자의 퍼블릭 IP 주소입니다. VPC 엔드포인트를 통해 이루어진 요청에는 사용할 수 없습니다.
중요

aws:SourceIpaws:VpcSourceIp는 상호 배타적입니다. 요청이 VPC 엔드포인트를 통과하는 경우 aws:SourceIp를 사용할 수 없습니다. aws:VpcSourceIp 대신를 사용합니다. 인터넷에서 요청을 받으면(VPC 엔드포인트 없음) aws:VpcSourceIp를 사용할 수 없습니다. aws:SourceIp 대신를 사용합니다.

중요

조건 키aws:VpcSourceIp는 대/소문자를 구분합니다.

IAM 전역 조건 키에 대한 자세한 내용은 IAM 사용 설명서AWS 전역 조건 컨텍스트 키를 참조하세요.

예제 시나리오

다음 예제 시나리오에서는 FSx for ONTAP 볼륨에 연결된 Amazon S3 액세스 포인트의 일반적인 구성을 보여줍니다. 각 시나리오에는 권장 네트워크 오리진, VPC 엔드포인트 유형 및 액세스 포인트 정책이 포함됩니다.

단일 VPC 액세스

사용 사례: 단일 VPC 내의 Amazon EC2 인스턴스, Lambda 함수 또는 Amazon ECS 태스크가 액세스 포인트에 액세스합니다. 외부 액세스가 필요하지 않습니다.

VPC 네트워크 오리진 사용:

VPC 네트워크 오리진을 사용한 단일 VPC 액세스

VPC 오aws:SourceVpc리진 구성은가 바인딩된 VPC와 일치하지 않는 요청을 효과적으로 거부합니다. 다른 VPCs, 인터넷 또는 온프레미스 네트워크의 요청은 거부됩니다. 게이트웨이 또는 인터페이스 Amazon S3 VPC 엔드포인트를 사용할 수 있습니다.

예제 액세스 포인트 정책(VPC 오리진): VPC 오리진을 사용하면 네트워크 제한이 기본으로 제공됩니다. 액세스 포인트 정책은 원하는 권한만 부여하면 됩니다.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"},
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point",
                "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*"
            ]
        }
    ]
}

인터넷 네트워크 오리진:

인터넷 네트워크 오리진을 사용한 단일 VPC 액세스

인터넷 오리진을 사용하면 액세스 포인트 정책의 aws:SourceVpc 조건(명시적 거부 포함)을 사용하여 VPC에 대한 액세스를 제한할 수 있습니다. 요청에 aws:SourceVpc가 채워지도록 하려면 VPC 엔드포인트가 필요합니다.

액세스 포인트 정책 예제(인터넷 오리진):이 정책에는 VPC 조건이 있는 허용과 VPC가 아닌 요청에 대한 거부가 모두 포함됩니다.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:role/my-app-role"},
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point",
                "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*"
            ],
            "Condition": {
                "StringEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"}
            }
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point",
                "arn:aws:s3:us-east-1:123456789012:accesspoint/my-access-point/object/*"
            ],
            "Condition": {
                "StringNotEquals": {"aws:SourceVpc": "vpc-1a2b3c4d"}
            }
        }
    ]
}
참고

액세스 포인트 정책에는 허용 및 거부 문이 모두 필요합니다. 거부 문이 없으면 모든 호출자에게 VPC 제한이 적용되지 않을 수 있습니다.

VPC 오리진인터넷 오리진
네트워크 적용 기본 제공 거부 정책 기반(허용 + 거부)
VPC 엔드포인트 필수(게이트웨이 또는 인터페이스) 필수(의 경우aws:SourceVpc)
액세스 포인트 정책 미니멀 - 기본 제공 거부가 제한 처리 aws:SourceVpc 허용 + 거부를 포함해야 합니다.

온프레미스 및 VPC 액세스

사용 사례: 온프레미스 사용자(VPN 또는 Direct Connect를 통해)와 VPC 내 컴퓨팅 리소스 모두 액세스 포인트에 액세스합니다. 모든 트래픽은 비공개로 유지됩니다.

중요

게이트웨이 엔드포인트는 VPN, Direct Connect 또는 Transit Gateway 연결에서 VPC로 들어오는 트래픽을 라우팅하지 않습니다. 온프레미스 호출자는 Amazon S3 인터페이스 엔드포인트를 사용해야 합니다. 세부 정보는 Amazon S3 액세스 포인트에서 VPC 엔드포인트 사용 섹션을 참조하세요.

VPC 네트워크 오리진을 사용한 온프레미스 및 VPC 액세스

게이트웨이 엔드포인트(VPC 내 트래픽)와 인터페이스 엔드포인트(온프레미스 트래픽)는 모두 동일한 VPC에 있으므로 둘 다 VPC 오리진 거부 조건을 충족합니다.

VPC 오리진인터넷 오리진
VPC 내 엔드포인트 게이트웨이(무료) 게이트웨이(용aws:SourceVpc)
온프레미스 엔드포인트 인터페이스(필수) 인터페이스(필수)
온프레미스 DNS Amazon S3에서 인터페이스 엔드포인트 IP로 확인 Amazon S3에서 인터페이스 엔드포인트 IP로 확인

다중 VPC 액세스

사용 사례: 여러 VPCs의 발신자는 동일한 액세스 포인트에 액세스해야 합니다. 예를 들어 동일한 계정 내 별도의 VPCs에 있는 애플리케이션 또는 VPCs 피어링 또는 Transit Gateway를 통해 연결된 다른 계정의 VPC가 있습니다.

정책 기반 제어를 사용할지 VPC 오리진 네트워크 적용을 사용할지에 따라 다중 VPC 액세스에 대한 두 가지 접근 방식이 있습니다.

옵션 1: 각 VPC에 게이트웨이 엔드포인트가 있는 인터넷 오리진

각 VPC에는 자체 Amazon S3 Gateway 엔드포인트가 있습니다. 각 VPC의 발신자는 요청에 채워지는 로컬 게이트웨이 엔드포인트를 통해 액세스 포인트aws:SourceVpc에 액세스합니다. 액세스 포인트 정책은 허용된 VPC IDs.

인터넷 네트워크 오리진 및 게이트웨이 엔드포인트를 사용한 다중 VPC 액세스

  • 네트워크 오리진: 인터넷

  • VPC 엔드포인트: 각 VPC의 Amazon S3 Gateway 엔드포인트(무료, 추가 구성 필요 없음)

  • 액세스 포인트 정책: 모든 VPC IDs aws:SourceVpc 나열하고를 사용하여 거부를 허용 StringNotEquals

참고

액세스 포인트 정책에는 허용 및 거부 문이 모두 필요합니다. 거부 문이 없으면 모든 호출자에게 VPC 제한이 적용되지 않을 수 있습니다.

이 옵션은 각 VPC가 독립적으로 작동하므로 설정하기가 더 간단합니다. VPC 피어링 또는 Transit Gateway가 필요하지 않습니다. VPCs 추가하거나 제거하려면 액세스 포인트 정책을 업데이트합니다.

옵션 2: 중앙 집중식 인터페이스 엔드포인트가 있는 VPC 오리진

VPC 오리진 및 중앙 집중식 인터페이스 엔드포인트를 사용한 다중 VPC 액세스

VPC 하나는 Amazon S3 인터페이스 엔드포인트를 호스팅하며, 액세스 포인트는 해당 VPC에 바인딩된 VPC 오리진으로 생성됩니다. 다른 VPCs VPC 피어링 또는 Transit Gateway를 통해 Amazon S3 트래픽을 인터페이스 엔드포인트로 라우팅합니다. 모든 요청은 바인딩된 VPC의 엔드포인트를 통해 도착하므로 VPC 오리진 적용을 충족합니다.

  • 네트워크 오리진: VPC(인터페이스 엔드포인트를 호스팅하는 VPC에 바인딩됨)

  • VPC 엔드포인트: 바인딩된 VPC의 Amazon S3 인터페이스 엔드포인트

  • 연결: 다른 VPC와 바인딩된 VPC 간의 VPCs 피어링 또는 전송 게이트웨이

  • 액세스 포인트 정책: 미니멀 - VPC 오리진 적용이 네트워크 제한을 처리합니다.

  • 발신자 구성: 다른 VPCs의 발신자는 --endpoint-url 또는 DNS 구성을 사용하여 인터페이스 엔드포인트를 통해 요청을 라우팅해야 합니다.

이 옵션은 정책 변경을 통해 VPC 오리진 제한을 우회할 수 없으므로 더 강력한 적용을 제공합니다. 그러나 VPC 피어링 또는 Transit Gateway 연결이 필요하며 인터페이스 엔드포인트에는 시간당 및 GB당 요금이 부과됩니다. 인터페이스 엔드포인트에 대한 자세한 내용은 AWS Amazon Simple Storage Service 사용 설명서의 Amazon S3용 PrivateLink를 참조하세요.

네트워크 액세스 문제 해결

Amazon S3 액세스 포인트 요청이 실패하면 오류 메시지에 요청을 거부한 권한 부여 계층이 표시되지 않는 경우가 많습니다. 다음 지침에 따라 일반적인 문제를 진단합니다.

AccessDenied with "리소스 기반 정책에서 명시적 거부"

이 오류는 여러 소스에서 발생할 수 있습니다. 다음 검사를 순서대로 수행합니다.

1: VPC 오리진 거부 확인(VPC 오리진 액세스 포인트만 해당)

액세스 포인트에 VPC 네트워크 오리진이 있는 경우 aws:SourceVpc가 바인딩된 VPC와 일치하지 않는 요청을 효과적으로 거부합니다. 다음을 확인합니다.

  • VPC 엔드포인트(게이트웨이 또는 인터페이스)는 바인딩된 VPC에 있습니다.

  • 호출자의 트래픽이 해당 엔드포인트를 통해 라우팅됩니다. VPC 내 호출자의 경우 게이트웨이 엔드포인트의 라우팅 테이블이 호출자의 서브넷과 연결되어 있는지 확인합니다. 온프레미스 호출자의 경우 인터페이스 엔드포인트를 사용하고 있는지 확인합니다(게이트웨이 엔드포인트는 VPN 또는 Direct Connect 트래픽을 라우팅하지 않음).

  • 호출자는 피어링된 VPC가 아닌 바인딩된 VPC에 있습니다. 피어링된 VPCs의 요청은 바인딩된 VPC의 인터페이스 엔드포인트를 통해 라우팅되지 않는 한 거부됩니다.

2. VPC 엔드포인트 정책 확인

요청이 VPC 엔드포인트를 통과하는 경우 엔드포인트의 정책은 액세스 포인트 리소스에 대한 작업을 허용해야 합니다. 기본 엔드포인트 정책은 모든 리소스에 대한 모든 작업을 허용합니다. 정책의 범위를 지정한 경우 액세스 포인트 ARN이 포함되어 있는지 확인합니다.

3. 액세스 포인트 정책 확인

액세스 포인트 정책이 요청 보안 주체를 허용하는지 확인합니다. 요청과 일치할 수 있는 조건이 있는 거부 문을 확인합니다.

4. 호출자의 IAM 자격 증명 정책 확인

호출자의 IAM 역할 또는 사용자는 액세스 포인트 ARN에서 Amazon S3 작업을 수행할 권한이 있어야 합니다.

5. 서비스 제어 정책(SCPs) 확인

계정이 AWS Organizations 조직의 일부인 경우 액세스 포인트에서 Amazon S3 작업을 거부SCPs가 없는지 확인합니다.

온프레미스 호출자는 AccessDenied를 받지만 VPC 호출자는 성공합니다.

이는 일반적으로 온프레미스 트래픽이 VPC 엔드포인트를 통해 라우팅되지 않음을 의미합니다.

  • 게이트웨이 엔드포인트는 온프레미스 트래픽을 라우팅하지 않습니다. VPN, Direct Connect 또는 Transit Gateway 연결에서 VPC로 들어오는 트래픽은 게이트웨이 엔드포인트 경로의 영향을 받지 않습니다. 온프레미스 호출자를 위한 Amazon S3 인터페이스 엔드포인트를 생성합니다.

  • 인터페이스 엔드포인트의 보안 그룹이 온프레미스 CIDR의 인바운드 HTTPS(포트 443)를 허용하는지 확인합니다.

  • 온프레미스 DNS가 Amazon S3 엔드포인트를 인터페이스 엔드포인트의 프라이빗 IP로 확인하거나 호출자가를 사용하는지 확인합니다--endpoint-url.

액세스 포인트 정책 조건은 영향을 미치지 않는 것으로 보임

  • 허용 전용 정책은 액세스를 제한하지 않습니다. 해당 거부가 없는 Allow 문에서만 조건(예: aws:SourceVpc)을 사용하는 경우 호출자의 IAM 자격 증명 정책은 독립적으로 액세스 권한을 부여할 수 있습니다. 역 조건으로 명시적 거부 문을 추가합니다.

  • 대/소문자 구분. 조건 키aws:VpcSourceIp는 대/소문자를 구분합니다.

  • 상호 배타적 조건 키. aws:SourceIpaws:VpcSourceIp는 상호 배타적aws:SourceIp입니다. 요청이 VPC 엔드포인트를 통과할 때는를 사용할 수 없습니다. aws:VpcSourceIp 대신를 사용합니다. 반대로 aws:VpcSourceIp는 인터넷 요청에 사용할 수 없습니다.를 사용합니다aws:SourceIp. 이는 액세스 포인트 정책, VPC 엔드포인트 정책 및 IAM 자격 증명 정책을 포함하여 이러한 조건 키를 사용하는 모든 정책에 적용됩니다.