Amazon S3 버킷에 대한 Amazon Quick 액세스 권한 부여 IAM 역할 및 정책 설정 준비 Amazon Quick에서 Amazon S3 Connector에 대한 VPC 액세스 구성 IAM 정책 할당을 사용하여 Amazon S3 버킷 액세스 제한

관리자 설정

사용자가 Amazon S3 통합 및 지식 기반을 생성하려면 먼저 Amazon Quick 관리자가 다음 설정 작업을 완료해야 합니다.

Amazon S3 버킷에 대한 Amazon Quick 액세스 권한 부여

조직에 필요한 Amazon S3 버킷에 대한 액세스 권한을 Amazon Quick에 부여합니다. 이는 버킷이 동일한 AWS 계정에 있든 다른 계정에 있든 상관없이 적용됩니다.

Amazon Quick Admin 콘솔의 권한에서 AWS 리소스를 선택합니다.
이러한 리소스에 대한 액세스 및 자동 검색 허용에서 Amazon S3 확인란을 선택합니다.
S3 버킷 선택을 선택합니다.
Amazon S3 버킷 선택 대화 상자에서 버킷 위치와 일치하는 탭을 선택합니다.
- 빠른 계정에 연결된 S3 버킷 - Amazon Quick이 액세스할 버킷을 목록에서 선택합니다. 선택한 버킷에는 기본적으로 읽기 전용 권한이 있습니다.
- 에서 액세스할 수 있는 S3 버킷 AWS- 교차 계정 버킷의 경우 계정 소유자가 계정에 권한을 부여했는지 확인합니다. 다른 버킷 사용을 선택하고 버킷 이름을 입력한 다음 S3 버킷 추가를 선택합니다.
(선택 사항) 교차 계정 버킷의 경우 지식 기반을 생성하는 사용자만 버킷을 사용할 수 있도록 지식 기반 생성자에 대한 버킷 액세스 제한을 선택하여 액세스를 제한합니다.
마침을 클릭합니다.

이제 지식 기반을 생성하는 동안 사용자가 선택한 버킷에 액세스할 수 있습니다.

IAM 역할 및 정책 설정 준비

Amazon S3 통합은 AWS 인증을 사용하여 Amazon S3 버킷에 액세스합니다. 사용자가 통합을 설정하기 전에 IAM 역할 및 정책 구성을 준비합니다.

필수 IAM 권한

AWS 계정에 Amazon S3 버킷에 대한 다음과 같은 최소 권한이 있는지 확인합니다.

s3:GetObject - 버킷에서 객체를 읽습니다.
s3:ListBucket - 버킷 콘텐츠를 나열합니다.
s3:GetBucketLocation - 버킷 리전 정보를 가져옵니다.
s3:GetObjectVersion - 객체 버전을 가져옵니다.
s3:ListBucketVersions - 버킷 버전을 나열합니다.

교차 계정 액세스를 위한 Amazon S3 버킷 권한 구성

다른 AWS 계정의 Amazon S3 버킷에 액세스하는 경우 소스 AWS 계정에서 IAM 정책을 구성해야 합니다.

교차 계정 액세스에 대한 Amazon S3 버킷 권한을 구성하려면

Amazon S3 버킷이 포함된 계정의 AWS Management Console에 로그인합니다.
https://console.aws.amazon.com/s3/에서 S3 콘솔을 엽니다.
액세스 권한을 부여할 버킷을 선택합니다.
권한을 선택하고 버킷 정책을 선택합니다.
다음 요소가 포함된 버킷 정책을 추가합니다.
- Version – "2012-10-17"로 설정
- Statement - 다음을 포함하는 정책 문을 포함하는 배열:
  - Sid – "AllowQuickSuiteS3Access"
  - Effect - "허용"
  - Principal – 계정의 Amazon Quick 서비스 역할에 대한 AWS ARN입니다. 예를 들어 보안 주체는 다음과 같아야 합니다. "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }
  - Action - Amazon S3 권한 배열: s3:GetObject, s3:ListBucket, s3:GetBucketLocation, s3:GetObjectVersion, s3:ListBucketVersions
  - Resource – "*"(현재 키에 적용), Amazon S3 버킷 경로는 다음과 같아야 합니다. "Resource": [ "arn:aws:s3:::bucket_name"]
변경 사항 저장을 선택합니다.

KMS 키 권한 구성(버킷이 암호화를 사용하는 경우)

Amazon S3 버킷이 AWS KMS 암호화를 사용하는 경우 다음 단계를 완료합니다.

KMS 키 권한을 구성하려면

https://console.aws.amazon.com/kms AWS Key Management Service(AWS KMS) 콘솔을 엽니다.
Amazon S3 버킷을 암호화하는 데 사용되는 KMS 키를 선택합니다.
Key policy(키 정책)를 선택한 다음 Edit(편집)을 선택합니다.
다음 구조 요소를 사용하여 키 정책에 문을 추가합니다.
- Sid – "AllowQuickSuiteKMSAccess"
- Effect - "허용"
- Principal – 계정의 Amazon Quick 서비스 역할에 대한 AWS ARN입니다. 예를 들어 보안 주체는 다음과 같아야 합니다. "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }
- Action – KMS 권한 배열: kms:Decrypt, kms:DescribeKey
- Resource – "*"(현재 키에 적용), Amazon S3 버킷 경로는 다음과 같아야 합니다. "Resource": [ "arn:aws:s3:::bucket_name"]
변경 사항 저장을 선택합니다.
정책 변경 사항이 전파될 때까지 2~3분 정도 기다립니다.

Amazon Quick에서 Amazon S3 Connector에 대한 VPC 액세스 구성

VPC 권한은 Amazon Quick이 보안 VPC 또는 VPC 엔드포인트 연결을 통해서만 Amazon S3 버킷에 액세스할 수 있도록 합니다.

필수 정책 변경

Amazon Quick이 VPC 엔드포인트를 통해 버킷에 액세스할 수 있도록 버킷 액세스 정책에이 문을 추가합니다.


{
  "Sid": "Allow-Quick-access"		 	 	 ,
  "Principal": "arn:aws:iam::Quick Account:role/service-role/aws-quicksight-service-role-v0",
  "Action": "s3:*",
  "Effect": "Allow",
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ],
  "Condition": {
    "Null": {
      "aws:SourceVpce": "false"
    }
  }
}

amzn-s3-demo-bucket을 버킷의 이름으로 바꿉니다.
Quick Account를 Amazon Quick 계정으로 바꿉니다.

이 "aws:SourceVpce": "false" 조건은 Amazon Quick이 VPC 엔드포인트를 통해서만 버킷에 액세스하여 보안 요구 사항을 유지할 수 있도록 합니다.

거부 정책

거부 정책을 통해 특정 VPC 또는 VPC 엔드포인트로 트래픽을 제한하는 정책이 버킷에 있는 경우 거부 정책이 허용 정책보다 우선하므로이 정책을 되돌려야 합니다.

예제:


{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

다음으로 되돌려야 합니다.


{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

모범 사례

Amazon Quick 역할에 대한 액세스 제한

액세스 정책은 호출자가 Amazon Quick 역할 ARN이거나 최소한 Amazon Quick 계정이어야 합니다. 이렇게 하면 VPC 트래픽을 허용하더라도 호출은 예상 소스에서만 이루어집니다.

보안 권장 사항

대부분의 보안 트래픽에 대해 Amazon Quick 역할로 정책 제한
버킷 정책을 정기적으로 검토하여 최소 권한 원칙을 준수하는지 확인합니다.

IAM 정책 할당을 사용하여 Amazon S3 버킷 액세스 제한

Amazon Quick 사용자가 지식 기반을 생성하는 데 사용할 수 있는 Amazon S3 버킷은 IAM 정책을 생성하고 Amazon Quick IAM 정책 할당을 통해 특정 사용자, 그룹 또는 모든 사용자에게 할당하여 제어할 수 있습니다. 이를 통해 ACL 인식 지식 기반을 포함한 특정 버킷에 대해 지식 기반을 생성할 수 있는 사용자를 제한할 수 있습니다.

참고

Amazon Quick을 통해 할당된 IAM 정책이 리소스 수준 정책보다 AWS 우선합니다. 액세스 요구 사항이 충족되도록 하려면 IAM 정책을 적절하게 구성합니다.

예를 들어 ACL 인식 버킷에 액세스해야 하는 특정 사용자에게 제한 정책을 할당하는 동시에 비 ACL 버킷의 모든 사용자에게 더 광범위한 정책을 할당할 수 있습니다.

1단계: IAM에서 Amazon S3 액세스 정책 생성

사용자가 지식 기반 생성을 위해 액세스할 수 있는 Amazon S3 버킷을 정의하는 AWS IAM 정책을 IAM 콘솔에서 생성합니다. 다음 예제 정책은 두 개의 특정 버킷에 대한 액세스 권한을 부여합니다.


{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        }
    ]
}

amzn-s3-demo-bucket-1 및 amzn-s3-demo-bucket-2를 액세스 권한을 부여하려는 Amazon S3 버킷의 이름으로 바꿉니다.

2단계: Amazon Quick에서 정책 할당

IAM 정책을 생성한 후 Amazon Quick 사용자 또는 그룹에 할당합니다.

Amazon Quick Admin 콘솔의 권한에서 IAM 정책 할당을 선택합니다.
새 할당 추가를 선택합니다.
할당의 이름을 입력합니다.
IAM 정책 선택 페이지에서 1단계에서 생성한 IAM 정책을 검색하고 선택합니다. 다음을 선택합니다.
사용자 및 그룹 할당 페이지에서 다음 중 하나를 선택합니다.
- 모든 사용자 및 그룹에 할당을 선택하여 현재 및 향후 모든 사용자에게 정책을 적용합니다.
- 정책을 할당할 특정 사용자 또는 그룹을 검색하고 선택합니다.
다음을 선택합니다.
변경 사항 검토 및 활성화 페이지에서 할당 세부 정보를 확인하고 저장 및 활성화를 선택합니다.

IAM 정책 할당을 통해 명시적으로 액세스 권한이 부여되지 않은 사용자는 통합 또는 지식 기반을 생성하기 위해 제한된 Amazon S3 버킷에 액세스할 수 없습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

S3 통합

문서 수준 ACLs