Amazon S3에서 버킷 정책을 수정하려고 할 때 “버킷 정책을 편집할 권한이 없습니다.” 라는 오류 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

다음과 같은 이유로 이 오류가 발생합니다.

• AWS Identity and Access Management(IAM) 사용자 또는 역할에는 s3:GetBucketPolicy와 s3:PutBucketPolicy에 대한 권한이 없습니다.
• 버킷 정책은 s3:GetBucketPolicy 및 s3:PutBucketPolicy에 대한 IAM 자격 증명 권한을 거부합니다.
• 버킷에 Amazon S3 퍼블릭 액세스 차단 기능이 켜져 있습니다.
• AWS Organizations의 서비스 제어 정책은 Amazon S3 액세스를 허용하지 않습니다.

이러한 문제를 해결하려면 다음을 시도해 보세요.

• IAM 사용자 또는 역할에 버킷 정책을 볼 수 있는 s3:GetBucketPolicy 권한과 이를 편집할 수 있는 s3:PutBucketPolicy 권한이 있는지 확인합니다. IAM 사용자 정책이 존재하지 않는 경우 액세스 권한을 부여하는 IAM 사용자 정책을 추가하세요.
• 권한이 거부된 경우 버킷 액세스 권한이 있는 다른 IAM 자격 증명을 사용하고 버킷 정책을 편집하세요. 또는 버킷 정책에 액세스할 수 없는 경우 버킷 정책을 삭제하고 다시 생성하세요.
• 퍼블릭 읽기 정책을 추가하려는 경우, 버킷의 S3 퍼블릭 액세스 차단 기능을 끄세요.
• AWS Organizations를 사용하는 경우 S3 작업을 명시적으로 거부하는 서비스 제어 정책이 없는지 확인하세요. 또한 작업에 예외를 추가할 수 있는지 확인하세요.

해결 방법

s3:GetBucketPolicy 및 s3:PutBucketPolicy에 대한 권한을 확인하세요.

다음 단계를 따르세요.

1.   IAM 콘솔을 엽니다.

2.    버킷 정책에 액세스하는 데 사용되는 ID(예: 사용자 또는 역할)를 선택합니다.

3.    버킷 정책에 액세스하는 데 사용하는 IAM 자격 증명 이름을 선택합니다.

4.    IAM 자격 증명의 권한 탭에서 각 정책을 확장하여 해당 JSON 정책 문서를 확인합니다.

5.    JSON 정책 문서에서 Amazon S3 액세스와 관련된 정책을 검색합니다. 그런 다음, 버킷에서 s3:GetBucketPolicy 및 s3:PutBucketPolicy 작업에 대한 권한이 있는지 확인합니다.

다음 예제의 IAM 정책은 IAM 자격 증명이 DOC-EXAMPLE-BUCKET에서 s3:GetBucketPolicy 및 s3:PutBucketPolicy 작업을 수행할 수 있도록 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ModifyBucketPolicy",
      "Action": [
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
    },
    {
      "Sid": "AccessS3Console",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    }
  ]
}

**참고:**이전 IAM 정책의 AccessS3Console 문은 Amazon S3 콘솔에 액세스 권한을 부여합니다. 이는 버킷 정책을 수정하는 데에만 국한되지 않습니다.

6.    JSON 정책 문서에서 **“Effect”: "Deny"**가 포함된 문을 검색하세요. 그런 다음 이러한 명령문이 s3:GetBucketPolicy 또는 s3:PutBucketPolicy에 대한 IAM 자격 증명 액세스를 거부하지 않는지 확인하세요.

7.    버킷 ARN(예: arn:aws:s3:::DOC-EXAMPLE-BUCKET)이 정책의 리소스 섹션에 있는지 확인하세요. 이는 s3:GetBucketPolicy와 s3:PutBucketPolicy가 버킷 수준 작업이기 때문입니다.

8.    aws:SourceIP와 같은 전역 조건이 IAM 정책에 적용되어 s3:GetBucketPolicy 및 s3:PutBucketPolicy 작업을 제한하는지 확인하세요. 이러한 조건으로 인해 액세스가 제한되는 경우 해당 조건을 제거하거나 업데이트하세요.

버킷 정책이 존재하지 않는 경우 추가

s3:GetBucketPolicy 또는 s3:PutBucketPolicy 권한을 부여하는 정책을 찾을 수 없는 경우, 정책을 추가하여 IAM ID에 해당 권한을 부여하세요. s3:GetBucketPolicy 또는 s3:PutBucketPolicy에 대한 액세스를 거부하는 정책이 있는 경우 해당 정책을 삭제하세요. IAM 권한 수정에 대한 지침을 보려면 IAM 사용자의 권한 변경을 참조하세요.

버킷 액세스 권한이 있는 다른 IAM 자격 증명을 사용하고 버킷 정책을 수정합니다.

다음 단계에 따라 버킷 정책을 수정하세요.

1.    Amazon S3 콘솔을 엽니다.

2.    버킷 목록에서 변경하려는 버킷 정책이 있는 버킷을 엽니다.

3.    권한 탭을 선택합니다.

4.    버킷 정책을 선택합니다.

5.    **"Effect": "Deny"**가 포함된 문을 검색하세요.

6.    버킷 정책을 편집하여 **s3:GetBucketPolicy ** 또는 s3:PutBucketPolicy에 대한 IAM 자격 증명 액세스를 거부하는 모든 “Effect”:”Deny” 문을 업데이트합니다.

7.    버킷 정책에 AWS: PrincipalARN과 같은 조건이 적용되어 IAM 엔터티에 대한 s3:GetBucketPolicy 및 s3:PutBucketPolicy 작업을 제한하는지 확인하세요. 이러한 조건으로 인해 액세스가 제한되는 경우 해당 조건을 제거하거나 업데이트하세요.

버킷 정책이 모든 사람의 액세스를 거부하는 경우 버킷 정책을 삭제하고 다시 생성하세요

버킷 정책이 s3:GetBucketPolicy, s3:PutBucketPolicy 또는 모든 Amazon S3 작업(s3:\ *) 에 대한 모든 액세스를 거부하는 경우, 버킷 정책을 삭제하세요. 버킷 정책을 삭제할 수 없는 경우, AWS 계정 루트 사용자로 정책을 삭제해 보세요. 정책을 삭제한 후 새 버킷 정책을 생성할 수 있습니다.

S3 퍼블릭 액세스 차단 끄기

버킷 정책에서 퍼블릭 액세스를 허용하는 경우 해당 버킷에 대해 S3 퍼블릭 액세스 차단이 켜져 있는지 확인하고 끕니다. 퍼블릭으로 설정한 S3 버킷에 대한 액세스가 나중에 거부되는 것을 방지하려면, 해당 계정에 대해 S3 퍼블릭 액세스 차단을 켜지 않았는지 확인하세요.

자세한 내용을 보려면 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하세요. 또한 퍼블릭의 의미도 참조하세요.

참고: 계정 수준에서 S3 퍼블릭 액세스 차단을 끄기 전에 프라이빗 버킷의 버킷 수준에서 활성화했는지 확인하세요. 이는 이러한 프라이빗 버킷에 대한 원치 않는 퍼블릭 액세스를 방지하기 위해 필요합니다.

AWS Organizations의 경우 Amazon S3 액세스를 허용하지 않는 서비스 제어 정책을 삭제하세요.

AWS Organizations를 사용하는 경우 서비스 제어 정책에서 s3:PutBucketPolicy 작업 또는 기타 S3 작업을 명시적으로 거부하는 명령문이 있는지 확인하세요. 조직의 보안 정책에 따라 S3 작업을 명시적으로 거부하는 서비스 제어 정책을 삭제하세요.

예를 들어, 다음 정책은 모든 S3 작업에 대한 액세스를 거부합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "s3:*",
      "Resource": "*"
    }
  ]
}