Amazon S3- Bucket Policy

The discussion on Amazon S3 Security covers several key aspects:

1. User-Based Security: IAM policies are used to authorize specific API calls for individual IAM users. This means you can control what actions a user is allowed to perform within Amazon S3.
2. Resource-Based Security: A newer approach involves using S3 Bucket policies. These policies are applied at the bucket level and can be configured directly from the S3 console. They enable granting access to specific users or even users from different AWS accounts (cross-account access).
3. Fine-Grained Security: Object Access Control Lists (ACLs) provide finer-grained security control but can be disabled. Bucket ACLs are also available, although less common and can also be disabled.
4. Bucket Policies: Bucket policies are the most common way to secure Amazon S3 buckets. These policies are JSON-based and specify which buckets and objects the policy applies to, what actions are allowed or denied (e.g., GetObject), and for which AWS principles (users or accounts).
5. Access Control: IAM principles can access S3 objects if IAM permissions allow it, resource policies allow it, and there is no explicit deny action. This combination determines whether access is granted on specified API calls.
6. Encryption: Another security measure involves encrypting objects using encryption keys, adding an extra layer of protection.
7. Bucket Settings for Block Public Access: These settings were created by AWS to prevent accidental data leaks. Even if an S3 Bucket policy makes a bucket public, enabling these settings will block public access, enhancing security

Amazon S3 보안에 관한 논의는 여러 가지 중요한 측면을 다룹니다:

1. 사용자 기반 보안: IAM 정책을 사용하여 개별 IAM 사용자에 대한 특정 API 호출을 승인합니다. 이것은 사용자가 Amazon S3 내에서 어떤 작업을 수행할 수 있는지를 제어할 수 있음을 의미합니다.
2. 리소스 기반 보안: 더 최근에는 S3 Bucket 정책을 사용하는 것이 포함됩니다. 이러한 정책은 버킷 수준에서 적용되며 S3 콘솔에서 직접 구성할 수 있습니다. 이를 통해 특정 사용자 또는 다른 AWS 계정의 사용자(크로스 계정 액세스)에게 액세스 권한을 부여할 수 있습니다.
3. 미세한 수준의 보안: 객체 액세스 제어 목록(ACL)은 미세한 수준의 보안 제어를 제공하지만 비활성화될 수 있습니다. 버킷 ACL도 사용할 수 있지만 덜 일반적이며 비활성화될 수 있습니다.
4. 버킷 정책: 버킷 정책은 Amazon S3 버킷을 보안하는 가장 일반적인 방법입니다. 이러한 정책은 JSON 기반으로 작성되며 정책이 적용되는 버킷 및 객체, 허용 또는 거부할 작업(예: GetObject) 및 AWS 원칙(사용자 또는 계정)을 지정합니다.
5. 액세스 제어: IAM 원칙은 IAM 권한이 허용하고 리소스 정책이 허용하며 명시적으로 거부 작업이 없는 경우에만 S3 객체에 액세스할 수 있습니다. 이 조합이 지정된 API 호출에서 액세스가 허용되는 여부를 결정합니다.
6. 암호화: 다른 보안 조치로 암호화 키를 사용하여 객체를 암호화하는 것이 있으며 이로써 추가 보호층을 제공합니다.
7. 블록 퍼블릭 액세스용 버킷 설정: 이러한 설정은 실수로 데이터 유출을 방지하기 위해 AWS에서 개발한 것입니다. S3 버킷 정책이 버킷을 공개로 만들어도 이러한 설정을 활성화하면 공개 액세스가 차단되어 보안이 강화됩니다.

https://www.udemy.com/course/aws-machine-learning/learn/lecture/38107086#overview