블로그 릴레이 - IAM 사용자에게 하나의 S3 버킷에 대한 접근 권한을 나누어 봤습니다.

블로그 릴레이 - IAM 사용자에게 하나의 S3 버킷에 대한 접근 권한을 나누어 봤습니다.

#한국어블로그
#AWS IAM
#Amazon S3
#AWS
Kim Jaewook

Kim Jaewook

facebook logohatena logotwitter logo
Clock Icon2025.01.24

안녕하세요! 클라우드 사업본부 컨설팅부의 김재욱입니다.

본 블로그는 당사의 한국어 블로그 릴레이의 2025년 첫 번째 블로그입니다.
이번 블로그의 주제는「IAM 사용자에게 하나의 S3 버킷에 대한 접근 권한을 나누어 봤습니다.」입니다.

사전 준비

jw-blgiams3test-1

먼저 두 가지의 IAM 사용자를 생성합니다.

  • test-jaewook-1 : 특정 S3 버킷에 대한 모든 권한을 가지고 있음.
  • test-jaewook-2 : 특정 S3 버킷에 지정한 폴더에 대한 접근 권한만 가지고 있음.

jw-blgiams3test-2

S3 버킷을 생성하고, test-jaewook-1 사용자는 secret 폴더와 uploads 두 폴더에 대한 모든 접근 권한을 가지고 있습니다. 반면 test-jaewook-2는 uploads 폴더에 대한 접근 권한만을 가지고 있으며, secret 폴더에 대한 접근 권한을 가지고 있지 않습니다.

IAM 정책 생성

먼저 test-jaewook-1 사용자의 권한은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::test-jaewook-bucket2",
                "arn:aws:s3:::test-jaewook-bucket2/*"
            ]
        }
    ]
}

해당 S3 버킷에 대한 모든 권한을 가지고 있습니다.

이어서 test-jaewook-2 사용자의 권한은 다음과 같습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::test-jaewook-bucket2"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::test-jaewook-bucket2/uploads/*"
        },
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": [
                "arn:aws:s3:::test-jaewook-bucket2/secret/*"
            ]
        }
    ]
}

기본적으로 [s3:ListBucket]을 통해서 모든 폴더를 볼 수 있게 표시해야 합니다. uploads만 해당 사용자에게 표시하는 것은 불가능한 것 같으며, uploads만 표시하도록 권한을 설정하면 아래와 같은 에러 문구가 표시됩니다.

객체를 표시할 권한 부족
귀하 또는 귀하의 AWS 관리자가 권한을 업데이트하여 s3:ListBucket 작업을 허용하면 페이지를 새로 고치세요.

이러한 문구가 표시되면, uploads 폴더 또한 보이지 않게 되므로 uploads과 secret 두 폴더를 다 표시할 수 있도록 설정했습니다.

검증

먼저 모든 권한을 가지고 있는 test-jaewook-1 사용자로 접속하여 테스트합니다.

jw-blgiams3test-3

secret 폴더에 접근하여 파일을 다운로드할 수 있습니다.

jw-blgiams3test-4

이어서 uploads/jaewook 폴더에 있는 파일 또 한 다운로드할 수 있습니다.

모든 권한을 가지고 있기 때문에 어느 폴더에나 접근이 가능한 것을 확인할 수 있습니다.

다음은 uploads 폴더에 대한 권한만을 가지고 있는 test-jaewook-2 사용자로 접속하여 테스트합니다.

jw-blgiams3test-5

uploads/jaewook 폴더에 있는 파일은 문제없이 다운로드 가능합니다.

jw-blgiams3test-6

secret 폴더에 접근하여 파일 내부를 확인하려고 하면, 접근 거부가 표시됩니다.

이렇게 하나의 버킷에 여러 사용자들에 대한 접근 권한을 나누어 보다 안전하게 파일을 관리할 수 있지 않을까 생각합니다.

마무리

이상, 한국어 블로그 릴레이의 2025년 첫 번째 블로그「IAM 사용자에게 하나의 S3 버킷에 대한 접근 권한을 나누어 봤습니다.」편이었습니다. 다음 두 번째 블로그 릴레이는 1월 다섯 번 째 주에 공개됩니다.

끝까지 읽어주셔서 감사합니다! 이상, 클라우드 사업본부 컨설팅부의 김재욱이었습니다.

Share this article

facebook logohatena logotwitter logo

関連記事

AWS WAF v2에 Marketplace의 제품이 어느정도 대응하고 있을까

AWS WAF v2에 Marketplace의 제품이 어느정도 대응하고 있을까

User avatar
Lee Sujae
2025.01.24
AI 초보자의 LLM 공부 기록 여섯 번째

AI 초보자의 LLM 공부 기록 여섯 번째

User avatar
Lee Sujae
2025.01.20
2024년을 마무리하면서 한 해를 되돌아보는 블로그

2024년을 마무리하면서 한 해를 되돌아보는 블로그

User avatar
Kim Jaewook
2024.12.31
Notion에서 Google Spreadsheet를 불러와 데이터베이스화 시켜보기

Notion에서 Google Spreadsheet를 불러와 데이터베이스화 시켜보기

User avatar
Kim Jaewook
2024.12.24
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.