개요
Amazon S3를 사용하여 공유 데이터 세트를 저장하는 고객이 많아지고 있습니다. 이때 데이터는 분석, 기계 학습, 실시간 모니터링 또는 기타 데이터 레이크 사용 사례에 상관없이 여러 애플리케이션, 팀 및 개인에서 집계 및 액세스될 수 있습니다. 이러한 공유 버킷에 대한 액세스를 관리하려면 여러 권한 수준을 사용하는 수십 개에서 수백 개에 이르는 애플리케이션에 대한 액세스를 제어하는 단일 버킷 정책이 필요합니다. 애플리케이션이 더 커지면 버킷 정책은 더 복잡해지고, 관리하는 시간이 걸리며, 변경으로 인해 다른 애플리케이션에 미치는 영향이 없는지 확인하기 위해 감사해야 합니다.
S3의 기능인 Amazon S3 액세스 포인트는 데이터를 S3에 저장하는 AWS 서비스 또는 고객 애플리케이션의 데이터 액세스를 간소화합니다. S3 액세스 포인트를 사용하면 고객이 각 액세스 포인트의 고유한 액세스 제어 정책을 생성하여 공유 데이터 세트에 대한 액세스를 손쉽게 제어할 수 있습니다. 데이터 레이크, 미디어 아카이브 및 사용자가 생성한 콘텐츠를 포함하여 공유 데이터 세트를 사용하는 고객은 각 애플리케이션에 맞게 사용자 지정된 이름과 권한으로 개별화된 액세스 포인트를 생성하여 수백 개의 애플리케이션에 대한 액세스를 손쉽게 확장할 수 있습니다. 모든 액세스 포인트는 고객의 프라이빗 네트워크 내 S3 데이터 액세스에 대한 방화벽을 구축하도록 Virtual Private Cloud(VPC)로 제한할 수 있으며, AWS 서비스 제어 정책을 사용하여 모든 액세스 포인트를 VPC로 제한할 수 있습니다. S3 액세스 포인트는 모든 리전에서 추가 비용 없이 사용할 수 있습니다.
S3 액세스 포인트 작동 방식
각 S3 액세스 포인트는 사용 사례 또는 애플리케이션에 특정한 액세스 정책으로 구성됩니다. 예를 들어, 데이터 레이크에 대해 사용자 그룹 또는 애플리케이션 그룹에 대한 액세스를 부여하는 S3 버킷에 대한 액세스 포인트를 생성할 수 있습니다. 액세스 포인트는 계정 내나 계정 전반에서 단일 사용자나 애플리케이션 또는 사용자 그룹이나 애플리케이션의 그룹을 지원하므로, 각 액세스 포인트를 개별적으로 관리할 수 있습니다.
모든 액세스 포인트는 단일 버킷에 연결되며, 하나의 네트워크 오리진 제어와 퍼블릭 액세스 차단 제어를 포함합니다. 예를 들어, AWS 클라우드의 논리적으로 격리된 섹션인 가상 사설 클라우드에서 스토리지 액세스만 허용하는 네트워크 오리진 제어를 포함하는 액세스 포인트를 생성할 수 있습니다. 또한 정의된 접두사의 객체나 특정 태그가 있는 객체에만 액세스하도록 구성된 액세스 포인트 정책을 포함하는 액세스 포인트를 생성할 수도 있습니다. 액세스 포인트를 사용하여 데이터에 대한 퍼블릭 액세스를 제공하려면 버킷 수준에서 퍼블릭 액세스 차단을 꺼야 합니다. 모든 새 버킷에는 퍼블릭 액세스 차단이 기본적으로 켜져 있습니다.
두 가지 방법 중 하나로 액세스 포인트를 통해 공유 버킷의 데이터에 액세스할 수 있습니다. S3 객체 작업을 경우 버킷 이름 대신 액세스 포인트 ARN을 사용할 수 있습니다. 표준 S3 버킷 이름 형식의 버킷 이름이 필요한 요청의 경우 대신 액세스 포인트 별칭을 사용할 수 있습니다. S3 액세스 포인트에 대한 별칭은 자동으로 생성되며 데이터 액세스에 버킷 이름을 사용하는 모든 곳에서 S3 버킷 이름과 상호 교환할 수 있습니다. 버킷에 대한 액세스 포인트를 생성할 때마다 S3는 새로운 액세스 포인트 별칭을 자동으로 생성합니다. 호환되는 작업 및 AWS 서비스의 전체 집합을 확인하려면 S3 설명서를 참조하십시오.
S3 액세스 포인트를 사용하는 시기
S3 액세스 포인트는 S3에서 공유 데이터 세트로 설정된 애플리케이션에 대한 데이터 액세스를 관리하는 방법을 단순화합니다. 더 이상 수백 개의 서로 다른 권한 규칙을 작성하며, 읽고, 추적하며, 감사해야 하는 하나의 복잡한 버킷 정책을 관리하지 않아도 됩니다. S3 액세스 포인트를 사용하면 이제 특정 애플리케이션에 맞게 조정된 정책으로 공유 데이터 세트에 대한 액세스를 허용하는 애플리케이션 특정 액세스 포인트를 생성할 수 있습니다.
- 대규모 공유 데이터 세트: 액세스 포인트를 사용하면 대규모 버킷 정책을 공유 데이터 세트에 액세스해야 하는 각 애플리케이션에 대한 분리된 개별 액세스 포인트 정책으로 분해할 수 있습니다. 그러면 공유 데이터 세트에서 다른 애플리케이션이 수행하는 작업을 방해하지 않고도, 더 간편하게 애플리케이션에 대한 올바른 액세스 정책을 구축하는 데 집중할 수 있습니다.
- 안전하게 데이터 복사: AWS 내부 네트워크와 VPC를 사용하는 S3 복사 API를 사용하여 같은 리전 액세스 포인트 간에 고속으로 안전하게 데이터를 복사합니다.
- VPC로 액세스 제한: S3 액세스 포인트는 Virtual Private Cloud(VPC)로만 모든 S3 스토리지 액세스를 제한할 수 있습니다. 또한, 서비스 제어 정책(SCP)을 생성하고 프라이빗 네트워크 안에 데이터에 대한 방화벽을 구축하여 모든 액세스 포인트를 Virtual Private Cloud(VPC)로 제한하도록 요구할 수 있습니다.
- 새 액세스 정책 테스트: 액세스 포인트를 사용하면 액세스 포인트로 애플리케이션을 마이그레이션하거나 기존 액세스 포인트로 정책을 복사하기 전에 새 액세스 포인트 정책을 쉽게 테스트할 수 있습니다.
- 특정 계정 ID로 액세스 제한: S3 액세스 포인트를 사용하면 특정 계정 ID가 소유한 액세스 포인트(버킷도 포함)에 대한 액세스만 허용하는 VPC 엔드포인트 정책을 지정할 수 있습니다. 그러면 VPC 엔드포인트를 통한 다른 S3 액세스를 거부하는 동시에, 동일한 계정 내 버킷에 대한 액세스를 허용하는 액세스 정책 생성 과정이 단순해집니다.
- 고유한 이름 제공: S3 액세스 포인트에서는 계정 및 리전에서 고유한 이름을 지정할 수 있습니다. 예를 들어, 이제 모든 계정과 리전에서 ‘test’ 액세스 포인트를 가질 수 있습니다.
데이터 수집, 변환, 제한된 읽기 액세스 또는 제한되지 않은 액세스 중에서 무엇을 위해 액세스 포인트를 생성하든, S3 액세스 포인트를 사용하면 공유 S3 버킷의 데이터에 대한 액세스를 생성, 공유 및 유지 관리하는 작업을 단순화합니다.
AWS Data Exchange에서 S3 액세스 포인트를 사용하는 방법
AWS Data Exchange for Amazon S3를 사용하면 데이터 공급자의 Amazon S3 데이터에 직접 액세스하여 인사이트를 빠르게 얻을 수 있습니다. AWS Data Exchange for Amazon S3는 스토리지 비용 최적화 및 단순한 데이터 라이선스 관리 등을 위해 서드 파티 데이터 파일을 손쉽게 찾아서 구독하고 사용하는 데 도움이 됩니다.
구독하면 AWS Data Exchange로 관리되는 전용 S3 액세스 포인트를 통해 공급자의 S3 버킷에 대한 액세스 권한이 자동으로 부여됩니다. 그러면 S3 액세스 포인트 별칭을 사용하여 Amazon Athena, Amazon SageMaker 특성 저장소, Amazon EMR 등의 AWS 서비스를 통해 공유 파일을 손쉽게 분석할 수 있습니다. 데이터 복사본을 생성하거나 관리할 필요가 없습니다.
AWS Data Exchange for Amazon S3 제품 페이지에서 자세히 알아보세요.