Access-Points
1 Amazon S3 Access Points
-
Amazon S3 Access Points는 Amazon S3 버킷에 대한 개별 액세스 지점을 설정하고 관리할 수 있는 기능입니다.
-
각 Access Point는 고유한 네트워크 엔드포인트와 액세스 정책을 가지고 있어 데이터 접근을 세분화하고 간편하게 관리할 수 있습니다.
2 주요 기능
2.1 고유한 네트워크 엔드포인트
- 각 Access Point는 고유한 DNS 이름을 가지며, 이를 통해 데이터 접근을 제어할 수 있습니다.
- Access Point는 인터넷 오리진(Internet Origin) 또는 VPC 오리진(VPC Origin)으로 구성될 수 있습니다.
2.2 개별 액세스 정책 설정
- 각 Access Point에 대해 고유한 액세스 정책을 설정하여 특정 사용자나 애플리케이션의 데이터 접근을 정의할 수 있습니다.
- Access Point 정책은 S3 버킷 정책과 별도로 관리되며, 더욱 세분화된 권한 설정이 가능합니다.
2.3 네트워크 수준의 제어
- Access Point를 통해 네트워크 수준에서 데이터 액세스를 제어할 수 있습니다.
- 특정 VPC(가상 사설 클라우드)에서만 접근할 수 있도록 설정하거나, 퍼블릭 인터넷에서의 접근을 차단할 수 있습니다.
3 네트워크 엔드포인트
3.1 S3 액세스 포인트
- S3 버킷에 대한 네트워크 엔드포인트를 제공합니다.
- 버킷에 대한 접근을 세밀하게 제어할 수 있는 정책을 설정할 수 있습니다.
- 인터넷을 통해 접근 가능한 "인터넷 오리진" 또는 VPC 내에서만 접근 가능한 "VPC 오리진"으로 구성할 수 있습니다.
3.2 VPC 엔드포인트와의 연계
- Access Point를 VPC 내부에서만 접근할 수 있도록 설정할 수 있습니다.
- 이를 위해 VPC 엔드포인트(게이트웨이 엔드포인트 또는 인터페이스 엔드포인트)를 생성해야 합니다.
- VPC 엔드포인트 정책은 대상 버킷과 Access Point에 대한 접근을 허용해야 합니다.
작동 방식
- VPC 내의 EC2 인스턴스가 S3 버킷에 접근하려고 할 때, 먼저 VPC 엔드포인트를 통과합니다.
- VPC 엔드포인트는 트래픽을 AWS 네트워크 내에서 S3 서비스로 라우팅합니다.
- S3 서비스는 요청된 액세스 포인트로 트래픽을 전달합니다.
- 액세스 포인트는 연결된 정책에 따라 S3 버킷에 대한 접근을 제어합니다.
설정 과정
- S3 버킷 생성: 먼저 접근하고자 하는 S3 버킷을 생성합니다.
- VPC 엔드포인트 생성:
- AWS VPC 콘솔에서 엔드포인트 생성을 선택합니다.
- S3 서비스를 선택하고, 게이트웨이 유형을 선택합니다.
- 엔드포인트를 연결할 VPC와 서브넷을 선택합니다.
- 필요한 경우 엔드포인트 정책을 구성합니다.
- S3 액세스 포인트 생성:
- S3 콘솔에서 액세스 포인트 생성을 선택합니다.
- 액세스 포인트 이름을 지정하고, 연결할 S3 버킷을 선택합니다.
- 네트워크 오리진으로 "VPC"를 선택합니다.
- VPC ID를 지정합니다 (이전에 엔드포인트를 생성한 VPC).
- 액세스 포인트 정책을 구성합니다.
- VPC 엔드포인트 정책 설정:
- VPC 엔드포인트 정책을 수정하여 생성한 액세스 포인트와 S3 버킷에 대한 접근을 허용합니다.
- 액세스 포인트 정책 설정:
- 액세스 포인트 정책을 구성하여 특정 VPC 또는 VPC 엔드포인트로부터의 접근만 허용하도록 설정합니다.
4 사용 예시
4.1 팀별 데이터 액세스 관리
- 다양한 팀이 같은 S3 버킷을 사용하지만, 각 팀의 Access Point를 통해 개별 액세스 권한과 정책을 설정할 수 있습니다.
- 예를 들어, 팀 A는 읽기 전용 권한을, 팀 B는 읽기/쓰기 권한을 가질 수 있습니다.
4.2 VPC 기반의 보안 강화
- Access Point를 특정 VPC에 연결하여, 해당 VPC 내부에서만 S3 버킷에 접근할 수 있도록 제한할 수 있습니다.
- 이를 통해 데이터 접근에 대한 보안을 강화할 수 있습니다.
5 S3 Multi-Region Access Points
- S3 Multi-Region Access Points는 여러 AWS 리전에 걸쳐 있는 S3 버킷에 대한 글로벌 액세스를 제공하는 고급 기능입니다.
- 이 기능을 통해 지리적으로 분산된 애플리케이션의 성능을 최적화하고 고가용성을 확보할 수 있습니다.
5.1 글로벌 엔드포인트
- 여러 AWS 리전의 S3 버킷을 포괄하는 단일 글로벌 엔드포인트를 제공합니다.
- 이를 통해 애플리케이션은 단일 엔드포인트로 데이터에 접근할 수 있으며, 복잡한 리전별 설정을 관리할 필요가 없습니다.
5.2 동적 요청 라우팅
- 요청을 자동으로 가장 가까운 S3 버킷(최저 지연 시간)으로 라우팅합니다.
- 사용자 위치에 따라 최적의 성능을 제공하여 글로벌 사용자 경험을 향상시킵니다.
5.3 양방향 버킷 복제
- Multi-Region Access Points를 효과적으로 사용하기 위해서는 리전 간 S3 버킷의 양방향 복제 규칙을 직��접 설정해야 합니다.
- 이 복제 규칙을 통해 여러 리전에 걸쳐 데이터를 동기화 상태로 유지할 수 있습니다.
- 데이터 일관성과 가용성을 보장하여 글로벌 애플리케이션의 요구사항을 충족합니다.
5.4 장애 조치 제어
- Active-Active 또는 Active-Passive 설정을 지원합니다.
- 몇 분 내에 다른 AWS 리전의 S3 버킷으로 요청을 전환할 수 있습니다.
- 리전 수준의 장애나 성능 저하 시 신속하게 대응할 수 있어 고가용성을 보장합니다.
5.5 사용 사례
- 글로벌 콘텐츠 배포: 전 세계 사용자에게 최적의 성능으로 콘텐츠 제공
- 재해 복구: 리전 장애 시 자동으로 다른 리전으로 트래픽 전환
- 데이터 보호: 여러 리전에 데이터를 복제하여 데이터 손실 위험 감소
- 글로벌 애플리케이션: 단일 엔드포인트로 전 세계 데이터 액세스 간소화
참고 자료