AWS S3 다른 계정으로 복제 (계정간 EC2 AMI 복제)

💡

준비물

1. AWS CLI가 설치된 환경
2. Source, Target 계정의 IAM User
3. IAM User의 Access Key, Secret Key (참고 링크)
4. 테스트를 위한 Source 계정의 EC2 Instance

 

시작 전

• 각 계정에 적절한 권한과 액세스 정책이 부여되어 있다면 다른 AWS 계정의 S3 객체를 복제할 수 있다.

• 현재는 AWS CLI를 통해서만 버킷 복제가 가능합니다.

• 버킷간 데이터를 옮길 때 S3 객체를 다운로드 하고 새로운 S3 버킷에 올리는 비용, 시간, 절차적 번거로움을 해결할 수 있습니다.

 

 

S3 복제하기

• 1. AMI를 S3 버킷에 저장

  1. 각 계정의 IAM User의 Key로 AWS Profile 생성 ( C:\Users\[사용자이름]\.aws\credentials 파일에 Source와 Target계정 모두 만들기)

     

  2. Source 서버 생성후 복사 확인을 위해서 테스트 파일을 생성하기

     

  3. Source 서버에서 EC2의 AMI 생성

     

  4. Source 서버 S3에 업로드

     ### 윈도우기준
     aws ec2 create-store-image-task `
     --image-id [AMI 번호] `
     --bucket [S3 Bucket 이름] `
     --profile [Source 계정 Profile 이름]
     
     ### 리눅스 & 맥
     aws ec2 create-store-image-task \
     --image-id [AMI 번호] \
     --bucket [S3 Bucket 이름] \
     --profile [Source 계정 Profile 이름]
     
     ### 아래와 같은 결과 나오면 명령 정상
     {
         "ObjectKey": "ami-0b708227c90ac8a3e.bin"
     }

     

  5. 업로드 진행상황 확인

     aws ec2 describe-store-image-tasks --profile [Source 계정 Profile 이름]

     

  6. 업로드 성공

     

• 2. Source S3의 AMI를 → Target S3로 전송

  1. Target 계정의 S3 Object컨트롤을 위한 IAM Policy (정책) s3-copy-test 생성

     {
       "Version": "2012-10-17",
       "Statement": [
         {
           "Effect": "Allow",
           "Action": [
             "s3:ListBucket",
     				"s3:GetObjectTagging", ## 만약 S3 객체에 태그가 있다면 이 권한도 넣어줘야한다!
             "s3:GetObject"
           ],
           "Resource": [
             "arn:aws:s3:::[Source-Bucket]",
             "arn:aws:s3:::[Source-Bucket/*]"
           ]
         },
         {
           "Effect": "Allow",
           "Action": [
             "s3:ListBucket",
             "s3:PutObject",
             "s3:PutObjectAcl"
           ],
           "Resource": [
             "arn:aws:s3:::[Target-Bucket]",
             "arn:aws:s3:::[Target-Bucket/*]"
           ]
         }
       ]
     }

  2. Target 계정이 Target S3에서 AMI를 복원하기 위한 IAM Policy (정책) ami-control-test 생성

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Effect": "Allow",
                 "Action": [
                     "s3:DeleteObject",
                     "s3:GetObject",
                     "s3:ListBucket",
                     "s3:PutObject",
                     "s3:AbortMultipartUpload",
                     "ebs:CompleteSnapshot",
                     "ebs:GetSnapshotBlock",
                     "ebs:ListChangedBlocks",
                     "ebs:ListSnapshotBlocks",
                     "ebs:PutSnapshotBlock",
                     "ebs:StartSnapshot",
                     "ec2:GetEbsEncryptionByDefault",
                     "ec2:DescribeTags"
                 ],
                 "Resource": "*"
             }
         ]
     }

  3. Target 계정 IAM User에 해당 정책을 추가한다.

     

     

  4. Source 버킷의 버킷정책 설정
     • Source 계정 → S3 → 버킷 → 권한 → 버킷 정책
     • Target 계정이 Source S3의 Object를 복제할 수 있게 버킷 정책을 설정한다.

       

       

       {
         "Version": "2012-10-17",
         "Statement": [
           {
             "Sid": "DelegateS3Access",
             "Effect": "Allow",
             "Principal": {
               "AWS": "[Target's AccountID]"
             },
             "Action": [
               "s3:ListBucket",
               "s3:GetObject"
             ],
             "Resource": [
               "arn:aws:s3:::[Source-Bucket/*]",
               "arn:aws:s3:::[Source-Bucket]"
             ]
           }
         ]
       }

  5. Powershell에서 권한 확인
     • Source → Source S3만 접근가능
     • Target → IAM 통해 전달받아서 Target S3 + Source S3 접근가능

       

  6. 버킷복사
     • Target 계정에 복제 및 결과 확인

       aws s3 sync s3://[Source-Bucket-Name] s3://[Target-Bucket-Name] --profile [Target profile 이름]

       

       

       • ls 대신 rm으로 객체 삭제 가능

         

     • Target Bucket에 해당 권한이 있어야 정상적인 권한을 Target이 가진것이다.
       • 버킷→ 정책 → ACL에서 확인

         

• 3. Target S3에서 AMI 복원

  1. Target 계정에서 AMI 복원

     # 윈도우 기준
     aws ec2 create-restore-image-task `
     --object-key [AMI num.bin] `
     --bucket [Target 버킷 name] `
     --name "[원하는 AMI 이름]" `
     --profile [profile 이름]
     
     # 리눅스 & 맥
     aws ec2 create-restore-image-task \
     --object-key [AMI num.bin] \
     --bucket [Target 버킷 name] \
     --name "[원하는 AMI 이름]" \
     --profile [profile 이름]

     

  2. 복원 결과 확인

     

  3. Target 계정에 복원한 AMI로 인스턴스 생성해서 잘 복사됐는지 확인

     

     • 초기 생성한 서버에 만든 파일들이 잘 옮겨졌다.

   

 

결론

---

• AWS CLI가 익숙하고, IAM, Credential과 같은 개념에 이해도가 높으면 아주 편리한 기능이다.

• 반대로 AWS CLI, IAM, Credential과 같은 개념이 아직 생소하다면 많이 막막할 것 같다.

• 콘솔에 없고 AWS CLI로만 사용 가능한 기능들에 대한 홍보 & 사용방법에 대한 예시가 더 많아졌으면 좋겠다.

 

Uploaded by Notion2Tistory v1.1.0

 

Cloudest - 블로그 이사했습니다