기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 에 대해 Amazon Macie를 활성화하면 AWS 계정 Macie는 사용자를 대신하여 Amazon Simple Storage Service(Amazon S3) 및 기타를 호출하는 데 필요한 권한을 Macie AWS 서비스 에 부여하는 [서비스 연결 역할을](service-linked-roles.md) 생성합니다. 서비스 연결 역할은 사용자를 대신하여 작업을 완료하기 위해 서비스에 대한 권한을 수동으로 추가할 필요가 AWS 서비스 없으므로 설정 프로세스를 간소화합니다. 이러한 유형의 역할에 대해 자세히 알아보려면 **AWS Identity and Access Management 사용 설명서의 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)을 참조하세요. Macie 서비스 연결 역할(`AWSServiceRoleForAmazonMacie`)에 대한 권한 정책을 통해 Macie는 S3 버킷 및 객체에 대한 정보 검색, 버킷의 객체 검색 등의 작업을 수행할 수 있습니다. 조직의 Macie 관리자인 경우, 정책에 따라 Macie가 조직 내 멤버 계정에 대해 사용자를 대신하여 이러한 작업을 수행할 수도 있습니다. Macie는 이러한 권한을 사용하여 다음과 같은 태스크를 수행합니다. + S3 범용 버킷의 인벤토리를 생성하고 유지 관리합니다 + 버킷과 버킷의 객체에 대한 통계 및 기타 데이터를 제공합니다. + 보안 및 액세스 제어를 위한 버킷을 모니터링하고 평가합니다. + 버킷의 객체를 분석하여 민감한 데이터를 감지합니다. 대부분의 경우, Macie는 이러한 태스크를 수행하는 데 필요한 권한을 가지고 있습니다. 그러나 S3 버킷에 제한적인 버킷 정책이 있는 경우, 정책으로 인해 Macie가 이러한 태스크의 일부 또는 전부를 수행하지 못할 수 있습니다. *버킷 정책은* 보안 주체 AWS Identity and Access Management (사용자, 계정, 서비스 또는 기타 엔터티)가 S3 버킷에서 수행할 수 있는 작업과 보안 주체가 이러한 작업을 수행할 수 있는 조건을 지정하는 리소스 기반(IAM) 정책입니다. 작업 및 조건은 버킷 수준 작업(예: 버킷 정보 검색)과 객체 수준 작업(예: 버킷에서 객체 검색)에 적용될 수 있습니다. 버킷 정책은 일반적으로 명시적 `Allow` 또는 `Deny` 명령문 및 조건을 사용하여 액세스를 허용하거나 제한합니다. 예를 들어 버킷에 액세스하는데 특정 소스 IP 주소, Amazon Virtual Private Cloud(VPC) 엔드포인트 또는 VPC를 사용하지 않는 한, 버킷 액세스를 거부하는 `Allow` 또는 `Deny` 명령문이 버킷 정책에 포함될 수 있습니다. 버킷 정책을 사용하여 버킷에 대한 액세스 권한을 부여하거나 제한하는 방법에 대한 자세한 내용은 **Amazon Simple Storage Service 사용 설명서의 [Amazon S3의 버킷 정책](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) 및 [Amazon S3에서 요청에 권한을 부여하는 방법](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-s3-evaluates-access-control.html)을 참조하세요. 버킷 정책에서 명시적인 `Allow` 명령문을 사용하는 경우, 정책은 Macie가 버킷과 버킷의 객체에 대한 정보를 검색하거나 버킷에서 객체를 검색하는 것을 막지 않습니다. 이는 Macie 서비스 연결 역할에 대한 권한 정책의 `Allow` 명령문이 이러한 권한을 부여하기 때문입니다. 그러나 버킷 정책에서 하나 이상의 조건이 포함된 명시적 `Deny` 명령문을 사용하는 경우, Macie는 버킷 또는 버킷의 객체에 대한 정보를 검색하거나 버킷의 객체를 검색하지 못할 수 있습니다. 예를 들어 버킷 정책에서 특정 IP 주소를 제외한 모든 소스에서의 액세스를 명시적으로 거부하는 경우, 민감한 데이터 검색 작업을 실행할 때 Macie는 버킷의 객체를 분석할 수 없습니다. 이는 제한적 버킷 정책이 Macie 서비스 연결 역할에 대한 권한 정책의 `Allow` 명령문보다 우선하기 때문입니다. Macie가 제한적인 버킷 정책이 있는 S3 버킷에 액세스할 수 있도록 하기 위해 Macie 서비스 연결 역할(`AWSServiceRoleForAmazonMacie`)에 대한 조건을 버킷 정책에 추가할 수 있습니다. 이 조건은 Macie 서비스 연결 역할이 정책의 `Deny` 제한과 일치하지 않도록 제외할 수 있습니다. 이는 `aws:PrincipalArn` [전역 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)와 Macie 서비스 연결 역할의 Amazon 리소스 이름(ARN)을 사용하여 수행할 수 있습니다. 다음 절차는 이 프로세스를 안내하고 예제를 제공합니다. **Macie 서비스 연결 역할을 버킷 정책에 추가하려면** 1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) Amazon S3 콘솔을 엽니다. 1. 탐색 창에서 **버킷**을 선택합니다. 1. Macie의 액세스를 허용할 S3 버킷을 선택합니다. 1. **권한(Permissions)** 탭의 **버킷 정책(Bucket policy)**에서 **편집(Edit)**을 선택합니다. 1. **버킷 정책** 편집기에서 액세스를 제한하고 Macie가 버킷 또는 버킷의 객체에 액세스하는 것을 막는 각 `Deny` 명령문을 식별합니다. 1. 각 `Deny` 명령문에 `aws:PrincipalArn` 전역 조건 컨텍스트 키를 사용하고 AWS 계정에 Macie 서비스 연결 역할의 ARN을 지정하는 조건을 추가합니다. 조건 키의 값은 `arn:aws:iam::{{123456789012}}:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie`이어야 하며, 여기서 {{123456789012}}는 AWS 계정의 계정 ID입니다. 이를 버킷 정책에 추가하는 위치는 정책에 현재 포함되어 있는 구조, 요소 및 조건에 따라 달라집니다. 지원되는 구조 및 요소에 대해 알아보려면 *Amazon Simple Storage Service 사용 설명서*의 [Amazon S3의 정책 및 권한](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html) 섹션을 참조하세요. 다음은 명시적 `Deny` 문을 사용하여 `amzn-s3-demo-bucket`이라는 S3 버킷에 대한 액세스를 제한하는 버킷 정책의 예입니다. 현재 정책에서는 ID가 `vpce-1a2b3c4d`인 VPC 엔드포인트에서만 버킷에 액세스할 수 있습니다. AWS Management Console 및 Macie의 액세스를 포함하여 다른 모든 VPC 엔드포인트의 액세스는 거부됩니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "Policy1415115example", "Statement": [ { "Sid": "Access only from specific VPCE", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } ``` ------ 이 정책을 변경하고 Macie가 S3 버킷과 버킷의 객체에 액세스할 수 있도록 하기 위해 `StringNotLike` [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)와 `aws:PrincipalArn` [전역 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 사용하는 조건을 추가할 수 있습니다. 이 추가 조건은 Macie 서비스 연결 역할이 `Deny` 제한과 일치하지 않도록 제외합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id":" Policy1415115example ", "Statement": [ { "Sid": "Access only from specific VPCE and Macie", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" }, "StringNotLike": { "aws:PrincipalArn": "arn:aws:iam::123456789012:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie" } } } ] } ``` ------ 위 예제에서 `StringNotLike` 조건 연산자는 `aws:PrincipalArn` 조건 컨텍스트 키를 사용하여 Macie 서비스 연결 역할의 ARN을 지정합니다. 여기서, + `123456789012`는 Macie를 사용하여 버킷 및 버킷의 객체에 대한 정보를 검색하고 버킷에서 객체를 검색할 수 AWS 계정 있는의 계정 ID입니다. + `macie.amazonaws.com`은(는) Macie 서비스 주체의 식별자입니다. + `AWSServiceRoleForAmazonMacie`은(는) Macie 서비스 연결 역할의 이름입니다. 정책에서 이미 `StringNotLike` 연산자를 사용하고 있기 때문에 `StringNotEquals` 연산자를 사용했습니다. 정책에서는 `StringNotEquals` 연산자를 한 번만 사용할 수 있습니다. Amazon S3 리소스에 대한 액세스 관리에 대한 추가 정책 예제와 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [액세스 제어를](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html) 참조하세요.