[S3] 교차 계정 액세스(S3 Cross-Accounts Access)

교차 계정 액세스란? (Cross-Accounts Access)

    - 한 AWS 계정의 IAM 사용자가 다른 AWS 계정의 IAM 사용자의 AWS 리소스에 액세스하는 것.

---

교차 계정 액세스 권한을 부여하는 방법

1. 리소스 기반 정책 및 IAM 정책 (프로그래밍 방식 전용)

• 버킷 정책을 사용하여 교차 계정 제어를 관리하고 S3 객체의 권한을 감시
• 버킷 수준에서 버킷 정책을 적용하면, 버킷 내의 여러 객체에 대한 세분화된 액세스 제어 가능
• 버킷 수준에서 버킷 정책을 적용하면, 액세스 할 수 있는 사람(Principal), 객체(Resource), 방법(Action)을 정의할 수 있음
• 버킷 정책을 검토하여 S3 버킷에 액세스할 수 있는 사용자를 확인 가능

2. 리소스 기반 ACL 및 IAM 정책 (프로그래밍 방식 전용)

• 객체 ACL을 사용하여 특정 시나리오와 ACL이 IAM 및 S3 버킷 정책 보다 요구 사항을 더 잘 수행할 수 있는 경우
• ACL은 사용자가 READ, WRITE, READ_ACP, WRITE_ACP 및 FULL_CONTROL 권한 세트만 정의할 수 있도록 허용
• ACL을 사용하여 개별 IAM 사용자 또는 역할에 대한 액세스를 제어할 수는 없음
• 동일한 접두사를 공유하는 서로 다른 객체에 대한 ACL 적용 불가

3. 교차 계정 IAM 역할 (프로그래밍 방식, 콘솔 액세스)

• 모든 AWS 서비스가 리소스 기반 정책을 지원하는 것이 아니기 때문에, 교차 계정 액세스를 위해 교차 계정 IAM 역할을 사용하여 권한 관리를 중앙집중화 할 수 있음.
• 여러 S3 버킷에 저장된 객체에 대한 교차 계정 액세스의 프로비저닝 간소화 = 버킷에 대한 여러 정책을 관리할 필요 X 
• 다른 AWS 계정 or AWS가 서비스가 소유하거나 업로드한 객체에 대한 교차 액세스를 허용
• 교차 계정 IAM 역할을 사용하지 않는 경우 객체 ACL을 수정해야함