액세스 포인트 액세스 관리 - FSx for ONTAP
파일 시스템 사용자 자격 증명 및 권한 부여S3 API 요청 권한 부여S3 Block Public AccessIAM 액세스 포인트 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

액세스 포인트 액세스 관리

해당 액세스 포인트를 사용하여 이루어진 모든 요청에 대해 S3가 적용하는 고유한 권한 및 네트워크 제어를 사용하여 각 S3 액세스 포인트를 구성할 수 있습니다. S3 액세스 포인트는 리소스, 사용자 또는 기타 조건별로 액세스 포인트 사용을 제어하는 데 사용할 수 있는 AWS Identity and Access Management (IAM) 리소스 정책을 지원합니다. 애플리케이션 또는 사용자가 액세스 포인트를 통해 파일에 액세스하려면 액세스 포인트와 기본 볼륨 모두에서 요청을 허용해야 합니다. 자세한 내용은 IAM 액세스 포인트 정책 단원을 참조하십시오.

FSx for ONTAP용 Amazon S3 액세스 포인트는 AWS IAM 권한과 파일 시스템 수준 권한을 결합하는 이중 계층 권한 부여 모델을 사용합니다. 이 접근 방식을 사용하면 AWS 서비스 수준과 기본 파일 시스템 수준 모두에서 데이터 액세스 요청이 제대로 승인됩니다.

애플리케이션 또는 사용자가 액세스 포인트를 통해 데이터에 성공적으로 액세스하려면 S3 액세스 포인트 정책과 기본 FSx for ONTAP 볼륨 모두에서 요청을 허용해야 합니다.

파일 시스템 사용자 자격 증명 및 권한 부여

FSx for ONTAP 볼륨에 대한 S3 액세스 포인트를 생성할 때 해당 액세스 포인트를 통해 이루어진 모든 파일 시스템 요청을 승인하는 데 사용할 파일 시스템 자격 증명을 지정합니다. 이 파일 시스템 자격 증명은 파일 시스템의 권한 모델에 따라 기본 파일 및 디렉터리에 부여되는 액세스 수준을 결정합니다. 파일 시스템 사용자는 기본 Amazon FSx 파일 시스템의 사용자 계정입니다. 파일 시스템 사용자에게 읽기 전용 액세스 권한이 있는 경우 액세스 포인트를 사용하여 수행된 읽기 요청만 승인되고 쓰기 요청은 차단됩니다. 파일 시스템 사용자에게 읽기-쓰기 액세스 권한이 있는 경우 액세스 포인트를 사용하여 만든 연결된 볼륨에 대한 읽기 및 쓰기 요청이 모두 승인됩니다.

파일 시스템 자격 증명은 다음 두 가지 유형 중 하나일 수 있습니다.

  • UNIX 자격 증명 - UNIX 보안 스타일로 볼륨에 액세스할 때 UNIX 자격 증명(사용자 이름) 사용

  • Windows 자격 증명 - NTFS 보안 스타일로 볼륨에 액세스할 때 Windows 자격 증명(도메인 및 사용자 이름)을 사용합니다.

UNIX 또는 Windows 자격 증명을 지정하면 액세스 포인트를 통해 수행되는 모든 S3 API 작업이 파일 시스템에 대한 해당 사용자의 권한을 사용하여 승인됩니다.

액세스 포인트와 연결하는 파일 시스템 자격 증명에 따라 파일 및 디렉터리에 대한 액세스 수준이 결정됩니다. 예를 들어 액세스 포인트를 일반적으로 파일 시스템에 대한 전체 파일 액세스 권한이 있는 루트 UNIX 자격 증명(UID 0)과 연결하면 모든 파일 작업이 승인됩니다. 반대로 액세스 포인트를 제한된 사용자 자격 증명과 연결하면 파일 시스템의 권한 모델에 따라 해당 사용자가 액세스할 수 있는 것으로 파일 작업이 제한됩니다.

UNIX 보안 스타일의 볼륨에는 UNIX 파일 시스템 ID 유형을 사용하고 NTFS 보안 스타일의 볼륨에는 Windows ID 유형을 사용해야 합니다. 이렇게 정렬하면 권한 부여 모델이 볼륨의 보안 구성과 일치하게 됩니다.

UNIX 보안 스타일 볼륨의 경우 파일 시스템은 모드 비트 또는 NFSv4 ACLs을 사용하여 액세스를 제어합니다. NTFS 보안 스타일 볼륨의 경우 파일 시스템은 Windows ACLs을 사용하여 액세스를 제어합니다.

중요

S3 액세스 포인트를 FSx for ONTAP 볼륨에 연결해도 NFS 또는 SMB를 통해 볼륨에 직접 액세스할 때 볼륨의 동작은 변경되지 않습니다. 볼륨에 대한 모든 기존 작업은 이전과 같이 계속 작동합니다. S3 액세스 포인트 정책에 포함하는 제한은 액세스 포인트를 사용하여 이루어진 요청에만 적용됩니다.

S3 API 요청 권한 부여

FSx for NetApp ONTAP 볼륨에 연결된 액세스 포인트를 통해 S3 API 요청을 수행하면 Amazon S3는 액세스 포인트의 IAM 리소스 정책을 기준으로 호출 보안 주체의 IAM 권한을 평가합니다. IAM 보안 주체 호출자는 자격 증명 기반 정책을 통해 부여된 필수 권한이 있어야 하며 액세스 포인트의 리소스 정책도 요청된 작업을 허용해야 합니다.

Amazon S3는 사용자 정책, 액세스 포인트 정책, VPC 엔드포인트 정책 및 서비스 제어 정책을 포함한 모든 관련 정책을 평가하여 요청을 승인할지 여부를 결정합니다.

특정 Virtual Private Cloud(VPC)의 요청만 수락하여 데이터 액세스를 제한하도록 S3 액세스 포인트를 구성할 수도 있습니다. 자세한 내용은 가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성 단원을 참조하십시오.

S3 Block Public Access

FSx for ONTAP 볼륨에 연결된 Amazon S3 액세스 포인트는 퍼블릭 액세스 차단이 활성화된 상태로 자동으로 구성되며, 변경할 수 없습니다.

IAM 액세스 포인트 정책

Amazon S3 액세스 포인트는 리소스, 사용자 또는 기타 조건별로 액세스 포인트 사용을 제어할 수 있는 AWS Identity and Access Management (IAM) 리소스 정책을 지원합니다. 애플리케이션 또는 사용자가 액세스 포인트를 통해 객체에 액세스할 수 있으려면 액세스 포인트와 기본 데이터 소스가 모두 요청을 허용해야 합니다.

선택적 액세스 포인트 정책을 생성하려면 s3:PutAccessPointPolicy 권한이 필요합니다.

Amazon FSx 볼륨에 S3 액세스 포인트를 연결하면 볼륨에 대한 모든 기존 작업이 이전과 같이 계속 작동합니다. 액세스 포인트 정책에 포함시키는 제한은 해당 액세스 포인트를 통해 이루어진 요청에만 적용됩니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서액세스 포인트를 사용하기 위한 IAM 정책 구성을 참조하세요.

Amazon FSx 콘솔을 사용하여 FSx for ONTAP 볼륨에 연결된 액세스 포인트를 생성할 때 액세스 포인트 정책을 구성할 수 있습니다. FSx 기존 S3 액세스 포인트에서 액세스 포인트 정책을 추가, 수정 또는 삭제하려면 S3 콘솔, CLI 또는 API를 사용할 수 있습니다.