S3에서 손쉽게 공유 데이터 집합에 대한 액세스 관리
고객은 점점 더 많이 Amazon S3를 사용하여 공유 데이터 집합을 저장합니다. 이때 데이터는 분석, 기계 학습, 실시간 모니터링 또는 기타 데이터 레이크 사용 사례에 상관없이 여러 애플리케이션, 팀 및 개인에서 집계 및 액세스될 수 있습니다. 이러한 공유 버킷에 대한 액세스를 관리하려면 여러 권한 수준을 사용하는 수십 개에서 수백 개에 이르는 애플리케이션에 대한 액세스를 제어하는 단일 버킷 정책이 필요합니다. 애플리케이션이 더 커지면 버킷 정책은 더 복잡해지고, 관리하는 시간이 걸리며, 변경으로 인해 다른 애플리케이션에 미치는 영향이 없는지 확인하기 위해 감사해야 합니다.
S3의 기능인 Amazon S3 액세스 포인트는 데이터를 S3에 저장하는 AWS 서비스 또는 고객 애플리케이션의 데이터 액세스를 간소화합니다. S3 액세스 포인트를 사용하면 고객이 각 액세스 포인트의 고유한 액세스 제어 정책을 생성하여 공유 데이터 집합의 액세스를 손쉽게 제어할 수 있습니다. 데이터 레이크, 미디어 아카이브 및 사용자가 생성한 콘텐츠를 포함하여 공유 데이터 집합을 사용하는 고객은 각 애플리케이션에 맞게 사용자 지정된 이름과 권한으로 개별화된 액세스 포인트를 생성하여 수백 개의 애플리케이션에 대한 액세스를 손쉽게 확장할 수 있습니다. 모든 액세스 포인트는 고객의 프라이빗 네트워크 내 S3 데이터 액세스에 대한 방화벽을 구축하도록 Virtual Private Cloud(VPC)로 제한할 수 있으며, AWS 서비스 제어 정책을 사용하여 모든 액세스 포인트를 VPC로 제한할 수 있습니다. S3 액세스 포인트는 모든 리전에서 추가 비용 없이 사용할 수 있습니다.
S3 액세스 포인트 작동 방식
각 S3 액세스 포인트는 사용 사례 또는 애플리케이션에 특정한 액세스 정책으로 구성됩니다. 예를 들어, 데이터 레이크에 대해 사용자 그룹 또는 애플리케이션 그룹에 대한 액세스를 부여하는 S3 버킷에 대한 액세스 포인트를 생성할 수 있습니다. 액세스 포인트는 계정 내나 계정 전반에서 단일 사용자나 애플리케이션 또는 사용자 그룹이나 애플리케이션의 그룹을 지원하므로, 각 액세스 포인트를 개별적으로 관리할 수 있습니다.
모든 액세스 포인트는 단일 버킷에 연결되며, 하나의 네트워크 오리진 제어와 퍼블릭 액세스 차단 제어를 포함합니다. 예를 들어, AWS 클라우드의 논리적으로 격리된 섹션인 가상 사설 클라우드에서 스토리지 액세스만 허용하는 네트워크 오리진 제어를 포함하는 액세스 포인트를 생성할 수 있습니다. 또한 정의된 접두사의 객체나 특정 태그가 있는 객체에만 액세스하도록 구성된 액세스 포인트 정책을 포함하는 액세스 포인트를 생성할 수도 있습니다.
두 가지 방법 중 하나로 액세스 포인트를 통해 공유 버킷의 데이터에 액세스할 수 있습니다. S3 객체 작업을 경우 버킷 이름 대신 액세스 포인트 ARN을 사용할 수 있습니다. 표준 S3 버킷 이름 형식의 버킷 이름이 필요한 요청의 경우 대신 액세스 포인트 별칭을 사용할 수 있습니다. S3 액세스 포인트에 대한 별칭은 자동으로 생성되며 데이터 액세스에 버킷 이름을 사용하는 모든 곳에서 S3 버킷 이름과 상호 교환할 수 있습니다. 버킷에 대한 액세스 포인트를 생성할 때마다 S3는 새로운 액세스 포인트 별칭을 자동으로 생성합니다. 호환되는 작업 및 AWS 서비스의 전체 집합을 확인하려면 S3 설명서를 참조하세요.
S3 액세스 포인트를 사용하는 경우
S3 액세스 포인트는 S3에서 공유 데이터 집합으로 설정된 애플리케이션에 대한 데이터 액세스를 관리하는 방법을 단순화합니다. 더 이상 수백 개의 서로 다른 권한 규칙을 작성하며, 읽고, 추적하며, 감사해야 하는 하나의 복잡한 버킷 정책을 관리하지 않아도 됩니다. S3 액세스 포인트를 사용하면 이제 특정 애플리케이션에 맞게 조정된 정책으로 공유 데이터 집합에 대한 액세스를 허용하는 애플리케이션 특정 액세스 포인트를 생성할 수 있습니다.
- 대형 공유 데이터 집합: 액세스 포인트를 사용하면 대형 버킷 정책을 공유 데이터 집합에 액세스해야 하는 각 애플리케이션에 대한 분리된 개별 액세스 포인트 정책으로 분해할 수 있습니다. 그러면 공유 데이터 집합에서 다른 애플리케이션이 수행하는 작업을 방해하지 않고도, 더 간편하게 애플리케이션에 대한 올바른 액세스 정책을 구축하는 데 집중할 수 있습니다.
- 안전하게 데이터 복사: AWS 내부 네트워크와 VPC를 사용하는 S3 복사 API를 사용하여 같은 리전 액세스 포인트 간에 고속으로 안전하게 데이터를 복사합니다.
- VPC로 액세스 제한: S3 액세스 포인트는 Virtual Private Cloud(VPC)로만 모든 S3 스토리지 액세스를 제한할 수 있습니다. 또한 SCP(서비스 제어 정책)를 생성하고 프라이빗 네트워크 안으로 데이터에 대한 방화벽을 구축하여 모든 액세스 포인트를 Virtual Private Cloud(VPC)로 제한하도록 요구할 수 있습니다.
- 새 액세스 정책 테스트: 액세스 포인트를 사용하면 액세스 포인트로 애플리케이션을 마이그레이션하거나 기존 액세스 포인트로 정책을 복사하기 전에 새 액세스 포인트 정책을 쉽게 테스트할 수 있습니다.
- 특정 계정 ID로 액세스 제한: S3 액세스 포인트를 사용하면 특정 계정 ID가 소유한 액세스 포인트(버킷도 포함)에 대한 액세스만 허용하는 VPC 엔드포인트 정책을 지정할 수 있습니다. 그러면 VPC 엔드포인트를 통한 다른 S3 액세스를 거부하는 동시에, 동일한 계정 내 버킷에 대한 액세스를 허용하는 액세스 정책 생성을 단순화합니다.
- 고유한 이름 제공: S3 액세스 포인트에서는 계정 및 리전에서 고유한 이름을 지정할 수 있습니다. 예를 들어, 이제 모든 계정과 리전에서 ‘test’ 액세스 포인트를 가질 수 있습니다.
데이터 수집, 변환, 제한된 읽기 액세스 또는 제한되지 않은 액세스 중에서 무엇을 위해 액세스 포인트를 생성하든, S3 액세스 포인트를 사용하면 공유 S3 버킷의 데이터에 대한 액세스를 생성, 공유 및 유지 관리하는 작업을 단순화합니다.
S3 액세스 포인트 시작하기
AWS Management Console, AWS CLI(Command Line Interface), API(Application Programming Interface) 및 AWS SDK(Software Development Kit) 클라이언트를 통해 기존 버킷과 새 버킷에서 추가 비용 없이 액세스 포인트를 생성할 수 있습니다. 액세스 포인트를 손쉽게 추가하며 보고 삭제하며, S3 콘솔 및 CLI를 통해 액세스 포인트 정책을 편집할 수도 있습니다. 그리고 권한을 제어하도록 IAM 규칙을 사용하여 버킷 정책과 같은 액세스 포인트 정책을 작성할 수 있습니다.
또한 CloudFormation 템플릿을 사용하여 액세스 포인트를 시작할 수도 있습니다. AWS CloudTrail 로그를 통해 "액세스 포인트 생성" 및 "액세스 포인트 삭제"와 같은 액세스 포인트 작업을 모니터링하고 감사할 수 있습니다. AWS SCP에 대한 AWS Organizations 지원을 사용하여 액세스 포인트 사용을 제어할 수 있습니다.
