[AWS] 두 계정 간 S3 CloudFront 연동하기

작성자:
AWS에서 S3를 오리진으로 CloudFront를 배포하고자 할 때, 단일 계정에서 구성은 특별히 복잡하지 않습니다.
그리고, A계정에는 S3를 B계정에는 CloudFront를 배포해야 하는 경우가 있는데, 이 경우에도 S3의 버킷을 퍼블릭 엑세스를 허용해도 좋다면 역시 복잡하지 않습니다.

그런데, S3 버킷에 직접 접근은 차단하고 반드시 CloudFront를 통해서면 접근할 수 있도록 구성해야 한다면 S3 버킷에 대한 접근제어를 적절하게 구성해 주어야 합니다.

먼저, CloudFront에서는 Origin Access Identity(OAI)를 생성하고 배포 생성 시 "Restrict Bucket Access"를 yes로 하여 OAI를 방금 만들어 둔 ID로 선택하여 생성합니다.
이 때, Origin Domain Name은 다른 계정의 S3 버킷을 기입해야 하므로 [버킷이름].s3.amazonaws.com 형식으로 된 도메인을 기입하여 줍니다.

S3에서는, 버킷의 [권한>버킷 정책]에 아래 내용으로 입력 후 저장합니다.
이 때, CloudFront OAI의 Amazon S3 Canonical User ID는 예: 06456789ca4f9f615e52eaae632639537f81c08cb771e90f4889b473134a4483f1ad529cfd863107985aa39df 형식입니다.

{
   "Version":"2012-10-17",
   "Id":"PolicyForCloudFrontPrivateContent",
   "Statement":[
     {
       "Sid":" Grant a CloudFront Origin Identity access to support private content",
       "Effect":"Allow",
       "Principal":{"CanonicalUser":"06456789ca4f9f615e52eaae632639537f81c08cb771e90f4889b473134a4483f1ad529cfd863107985aa39df"},
       "Action":"s3:GetObject",
       "Resource":"arn:aws:s3:::[버킷 이름]/*"
     }
   ]
}

위와 같이 저장하면, 자동으로 아래와 같이 OAI로 변경 저장이 됩니다.
(주의! 아래 결과로 보여주는 정책처럼 처음부터 OAI로 입력하면 정책 반영이 잘 안된다.)

{
    "Version": "2008-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity EAJE3VIRSJKK3"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::[버킷 이름]/*"
        }
    ]
}

S3에서는, 버킷의 [권한>엑세스 제어 목록>다른 AWS 계정에 대한 엑세스] 항목에 "정식 ID"를 입력하여 접근 권한을 특정 ID에 대해 허용해 주는 설정을 해두어야 합니다.


중요
Amazon S3 권한에 대한 변경 사항을 저장한 후 변경 사항이 적용되기까지 약간 지연될 수 있습니다. 변경 사항이 적용되기 전에 버킷의 객체에 액세스하려 하면 권한 거부 오류가 발생할 수 있습니다.

주의!
CloudFront의 엑세스 로그를 다른 AWS 계정의 버킷에 저장할때는 S3 버킷에 대한 접근 자격으로 CloudFront에서 생성한 OAI나 OAI의 "표준 사용자 ID"를 입력하면 안된다! CloudFront 계정의 "표준 사용자 ID"를 찾아서 입력해 주어야 한다.
* 표준 사용자 ID 찾기: https://docs.aws.amazon.com/ko_kr/general/latest/gr/acct-identifiers.html
* 표준 사용자 ID는 Root로 로그인하여 찾거나 IAM 유저권한으로는 API나 CLI를 통해 찾을 수 있지만, 간단히 S3 버킷을 하나 만들고 나면 버킷의 권한 탭에서 엑세스제어목록 중 AWS 계정에 대한 엑세스 항목에서 계정 칼럼에서 찾을 수 있다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

AWS SA 자격증 시험 합격 후기

작성자:
일시: 2017년 6월 말 장소: 강남역 1번 테헤란빌딩 시험종류: AWS Certified Solutions Architect - Associate (English) - Extended Time Exam: AWS Certified Solutions Architect - Associate (ENGLISH) - Extended Time Date Completed: June 2017 Time Taken: 108 minutes of 110 minutes total Score: 85% Result: Pass Topic Percentage Correct 3.0 Security 72% 4.0 Troubleshooting 100% 2.0 Implementation/Deployment 50% 1.0 Designing highly available, cost efficient, fault tolerant, scalable systems 93% 저녁 7시 타임이 있어서 평일에 봄. 저녁 먹는 게 부담스러워 핫브레이크 2개 먹고 갔더니, 몽롱해져서 편안(?)하게 시험 봄. 게다가 영어가 외국어인 사람을 위한 30분 연장 시간을 받는 시험이라 다소 시간적으로 여유 있게 봄. (여유있게 50문제 쯤 풀었을 때, 원래 시간 80분 경과함.) 준비물: 2개의 신분증(신분증+신용카드 정도)과 수험 번호를 가져가야 함. 테헤란빌딩 시험장은 일반 강의실에 시험 단말기를 갖다 놓고 앞에서 카메라로 원격 감독하는 환경임. 독서실처럼 옆이 막힌 곳이 아니라 저는 더 좋았는데, 양재 시험장은 독서실 같은 곳이므로 참고하시기 바람. 시험 보는 도중, 여기저기서 에러가 발생하여 감독관을 불러대서 좀 주변이 어수선하기도 함. 나도 시험 도중 두 번 에러가 나서, 불러서 리부팅 후 마지막 푼 문제부터 재시작함. (풀었던 문제는 그때그때 중앙 서버에 저장되므로 날아가지 않고, 다른 단말기로 이동해서도 계속 볼 수도 있음) 아리
본문 보기 »

[AWS] Lightsail vs EC2 (서울리전 2018.5 기준)

작성자:
쉽고 간단하게 AWS에서 제공하는 VPS를 사용할 수 있는 Amazon Lightsail이 서울리전에 출시되었습니다.(2018. 5. 8) 얼마나 쉽고 간단한지 Amazon EC2와 요금, 기능, 제약사항 등을 비교해보았습니다. Lightsail을 선택하는데 도움이 되시길 바랍니다. Lightsail vs EC2 구분 항목 EC2  Lightsail 요금 인스턴스 $5.28 (t2.nano 1c 0.5g 인스턴스) $5.00 (1c 0.5g + 20GB Disk + 1TB 전송량) 블럭스토리지 $114/1000GB (SSD gp2) $100/1000GB (기본디스크 20GB/30GB/40GB 등 무료 제공) 스냅샷 EBS 사이즈 까지는 무료 제공 EBS 비용과 동일 고정아이피 $3.66 $3.66, 5개까지 무료 로드밸런서 $22.42 (1ECU 기준) $18 (전송량은 요금에 반영 안되고 대신 인스턴스에서 LB로의 전송량이 반영됨) DNS $0.50 도메인 3개까지 무료 등록 전송량 $126.38/1TB 1TB+ 무료, 송수신 합산량으로 산정 삭제 후 생성시에도 전송량은 합산측정. 허용량 초과시에도 인스턴스로의 수신 트래픽은 허용됨 기능 스펙 다양함 2c8g/2c4g/1c2g/1c1g/1c0.5g 비용투명성 콘솔에서 요금 확인 어려움 콘솔에서 월예상 요금을 즉시 표시해 줌 인스턴스 복제 다양한 방법으로 제공 스냅샷 생성 후 원본서버와 동일하거나 큰 타입으로 복제 생성 가능 AWS 자원 연동 대부분의 자원과 연동 가능 VPC Peering 활성화를 통해 RDS, Aurora 와 연동 가능. 계정 > 고급 메뉴에서 블럭스토리지 추가 가능 8G,32,64,128,256,사용자지정 간편한 추가 방법 채택 방화벽 Security Group, NACL 등 인스턴스마다 단순 방화벽 제공. All Close. 특정 포트 혹은 사용자지정 포트에 대한 개방룰셋 추가. 특정 소스아이피 차단은 못함 로드밸런서 CLB, ALB
본문 보기 »

[AWS] EC2 SMTP 트래픽 제한 해제 하기 - 대량 이메일 발송서버 구성을 위해

작성자:
Amazon EC2는 기본적으로 모든 인스턴스의 SMTP(25) 트래픽을 제한하고 있습니다. 하지만, EC2를 메일서버로 구성하고자 할 때는 이러한 제한을 풀어야 하는데요, 이에 필요한 몇가지 사항에 대해서 알아봅니다. 1.Elastic IP(EIP) 준비 아웃바운드 이메일을 보내는데 사용하는 EIP 주소가 필요합니다. 혹, EIP 주소가 스팸 주소로 등록되어 차단될 경우를 대비하여 두 개의 EIP를 준비합니다. EIP는 EC2에 attach 하면 EC2 당 1개는 비용이 발생하지 않지만 추가 EIP는 월 $3.66 비용이 발생합니다. 2. Route53에 EIP에 대한 reverse DNS 등록 대부분의 대형 포털 메일서버는 수신한 메일의 스팸성을 스팸하우스 같은 안티스팸 기구에서 운영하는 디비를 참조하여 판단합니다. 메일 발송지의 아이피의 Reverse DNS 조회 결과와 메일 발신자의 도메인이 일치하도록 reverse DNS를 등록해 두면 스팸 판정을 크게 줄일 수 있습니다. Route53에서 Hosted Zone을 만들고 위에서 준비한 EIP로 메일도메인의 A 레코드를 등록하고 이에 따른 PTR 레코드를 등록해 줍니다. Route53의 Hosted Zone 당 월 $0.50 비용이 발생합니다. 참조: How do I enable reverse DNS lookup in Amazon Route 53? 3. 제한 해제 신청 SMTP 제한 해제는 Root 계정 자격으로만 가능합니다. 아래 페이지에서 위에서 준비한 두가지 정보를 입력하고 해제신청을 합니다. 해제신청: Request to Remove Email Sending Limitations 요청이 승인되면 25번 포트의 차단이 제거되었음을 알리는 이메일을 받게됩니다. 이상으로 EC2를 메일서버로 구성하기 위한 선결 사항들을 알아보았습니다.
본문 보기 »