버킷 정책을 수정하려고 하면 Amazon S3 콘솔에서 액세스 거부 오류가 발생하는 이유는 무엇입니까?

최종 업데이트 날짜: 2021년 4월 27일

Amazon Simple Storage Service(Amazon S3) 버킷의 버킷 정책을 수정하려고 하면 계속해서 액세스 거부 오류가 발생합니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

Amazon S3 콘솔에서 버킷 정책을 보려면 AWS Identity and Access Management(IAM) 사용자 또는 역할이 s3:GetBucketPolicy 권한을 가지고 있어야 합니다. 기존 버킷 정책을 편집하려면 IAM 자격 증명에 s3:PutBucketPolicy 작업을 수행할 수 있는 권한이 있어야 합니다.

액세스 거부 오류를 해결하려면 다음을 확인하십시오.

  • IAM 자격 증명에 s3:GetBucketPolicys3:PutBucketPolicy 모두에 대한 권한이 있습니다.
  • 버킷 정책이 s3:GetBucketPolicy 또는 s3:PutBucketPolicy에 대한 IAM 자격 증명의 권한을 거부하지 않습니다.
  • Amazon S3 퍼블릭 액세스 차단이 활성화된 경우 버킷 정책을 변경해도 퍼블릭 액세스 권한이 부여되지 않습니다.
  • AWS Organizations 서비스 제어 정책은 Amazon S3 액세스를 허용합니다.
  • 버킷 정책이 s3:GetBucketPolicy, s3:PutBucketPolicy 또는 모든 Amazon S3 작업(s3:*)에 대한 모든 사용자의 액세스를 거부하는 경우 버킷 정책을 삭제합니다.
    참고:
    버킷 정책을 삭제할 수 없는 경우 AWS 계정 루트 사용자로 정책을 삭제해 보세요.

해결 방법

IAM 자격 증명에 s3:GetBucketPolicy 및 s3:PutBucketPolicy 모두에 대한 권한이 있는 경우

1.    IAM 콘솔을 엽니다.

2.    버킷 정책에 액세스하는 데 사용되는 엔터티(예: [사용자(User)] 또는 [역할(Role)])을 선택합니다.

3.    버킷 정책에 액세스하는 데 사용할 IAM 사용자 또는 역할 이름을 선택합니다.

4.    IAM 사용자 또는 역할의 [권한(Permissions)] 탭에서 각 정책을 확장하여 해당 JSON 정책 문서를 봅니다.

5.    JSON 정책 문서에서 Amazon S3 액세스와 관련된 정책을 검색합니다. 그런 다음, 버킷에서 s3:GetBucketPolicys3:PutBucketPolicy 작업에 대한 권한이 있는지 확인합니다.

예를 들어, 이 IAM 정책은 사용자 또는 역할이 DOC-EXAMPLE-BUCKET에서 s3:GetBucketPolicys3:PutBucketPolicy 작업을 수행하는 것을 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ModifyBucketPolicy",
      "Action": [
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
    },
    {
      "Sid": "AccessS3Console",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

참고: 이전 예제 IAM 정책에서 "AccessS3Console" 문은 Amazon S3 콘솔 액세스 권한을 부여하며 버킷 정책을 수정하는 것과 관련이 없습니다.

6.    JSON 정책 문서에서 "Effect": "Deny"를 포함하는 문도 검색해야 합니다. 그런 다음, 해당 문이 버킷에서 s3:GetBucketPolicy 또는 s3:PutBucketPolicy 작업에 대한 IAM 사용자 또는 역할의 액세스 권한을 거부하지 않는지 확인합니다.

7.    s3:GetBucketPolicy 또는 s3:PutBucketPolicy 권한을 부여하는 정책을 찾을 수 없는 경우 IAM 자격 증명에 이러한 권한을 부여하는 정책을 추가합니다. 버킷에 s3:GetBucketPolicy 또는 s3:PutBucketPolicy에 대한 액세스를 거부하는 정책이 있는 경우 이러한 문 또는 정책을 제거합니다. IAM 권한을 수정하는 방법에 대한 지침은 IAM 사용자에 대한 권한 변경을 참조하세요.

버킷 정책이 s3:GetBucketPolicy 또는 s3:PutBucketPolicy에 대한 IAM 자격 증명의 권한을 거부하지 않는 경우

IAM 권한을 확인한 후에 여전히 버킷 정책을 수정할 수 없는 경우 다른 IAM 자격 증명을 사용하여 정책을 확인합니다. 이 IAM 자격 증명에 버킷 액세스 권한이 있어야 액세스를 차단하는 문에 대한 정책을 확인할 수 있습니다.

버킷 정책에 대한 액세스 권한이 있는 IAM 자격 증명을 사용하여 다음 단계를 수행합니다.

1.    Amazon S3 콘솔을 엽니다.

2.    버킷 목록에서 변경하려는 버킷 정책을 포함하는 버킷을 엽니다.

3.    [권한] 탭을 선택합니다.

4.    [버킷 정책]을 선택합니다.

5.    "Effect": "Deny"를 포함하는 명령문을 검색합니다.

6.    버킷 정책을 수정하여 s3:GetBucketPolicy 또는 s3:PutBucketPolicy에 대한 IAM 자격 증명 액세스를 잘못 거부하는 "Effect": "Deny" 문을 업데이트합니다.

Amazon S3 퍼블릭 액세스 차단이 활성화된 경우 버킷 정책을 변경해도 퍼블릭 액세스 권한이 부여되지 않습니다.

버킷 정책 변경을 검토하여 변경 사항이 버킷에 대한 퍼블릭 액세스를 허용하는지 확인합니다. 그런 다음 버킷이나 계정에서 Amazon S3 퍼블릭 액세스 차단이 활성화되어 있는지 확인합니다. S3 퍼블릭 액세스 차단이 활성화된 경우 퍼블릭 액세스를 허용하는 버킷 정책을 저장하려고 할 때 액세스 거부 오류가 발생합니다.

AWS Organizations 서비스 제어 정책은 Amazon S3 액세스를 허용합니다.

AWS Organizations를 사용하는 경우 Amazon S3 액세스를 명시적으로 거부하는 문에 대한 서비스 제어 정책을 확인합니다. 특히 서비스 제어 정책에서 s3:PutBucketPolicy 작업을 거부하는 문을 확인합니다.

예를 들어, 다음 정책은 모든 Amazon S3 작업에 대한 액세스를 명시적으로 거부하므로 액세스 거부 오류가 생성됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}

버킷 정책이 s3:GetBucketPolicy, s3:PutBucketPolicy 또는 모든 Amazon S3 작업(s3:*)에 대한 모든 사람의 액세스를 거부하는 경우 버킷 정책을 삭제합니다.

버킷 정책을 보거나 수정할 수 있는 IAM 자격 증명이 없는 경우 AWS 계정 루트 사용자에는 항상 기존 버킷 정책을 삭제할 권한이 있습니다. 루트 사용자가 기존 정책을 삭제한 후에는 IAM 사용자 또는 역할이 새 버킷 정책을 생성할 수 있습니다.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?