Amazon S3에서 Cloud Storage로 이전하기

이 페이지에서는 API를 사용하여 요청을 보내는 사용자를 위해 Amazon S3(Amazon Simple Storage Service)에서 Cloud Storage로 이전하는 방법을 설명합니다. 현재 Amazon S3를 사용하고 있지 않고 Cloud Storage API를 사용하여 요청을 보내려는 경우 XML API 개요로 이동하세요.

Cloud Storage를 처음 사용하며 API를 바로 사용하지 않을 계획인 경우 Google Cloud Platform Console을 사용하여 전송을 설정하고 관리하는 것이 좋습니다. Google Cloud Platform Console은 Cloud Storage로의 그래픽 인터페이스를 제공하므로 Amazon S3에서 Cloud Storage로 데이터 이전 등의 많은 스토리지 작업을 브라우저만으로 수행할 수 있습니다.

이전 개요

Amazon S3 사용자인 경우 Amazon S3를 사용하는 애플리케이션을 쉽게 이전하여 Cloud Storage를 사용할 수 있습니다. 이전 옵션은 두 가지가 있습니다.

단순 이전

Amazon S3 사용자가 Cloud Storage를 시작하기에 가장 쉬운 방법입니다. Amazon S3에서 현재 사용하고 있는 도구와 라이브러리를 조금만 변경하면 되기 때문입니다. 자세한 내용은 단순 이전을 참조하세요.

단순 이전을 통해 Cloud Storage로 빠르게 이전할 수 있지만 Cloud Storage의 모든 기능을 사용할 수는 없습니다. Cloud Storage를 최대한 활용하려면 전체 이전 단계를 따르세요.

전체 이전

Amazon S3에서 Cloud Storage로 전체 이전에는 단순 이전보다 몇 가지 단계가 더 필요하지만 서비스 계정, 여러 프로젝트, 인증용 OAuth 2.0 지원을 포함하여 Cloud Storage의 모든 기능을 사용할 수 있다는 이점이 있습니다. 자세한 내용은 전체 이전을 참조하세요.

단순 이전

Amazon S3에서 Cloud Storage로 단순 이전 시 기존 도구와 라이브러리를 사용하여 Amazon S3에 대한 인증된 REST 요청을 생성할 수 있으며 인증된 요청을 Cloud Storage에 전송할 수도 있습니다. 이 섹션에서는 기존 도구와 라이브러리에 필요한 변경사항을 설명합니다.

단순 이전을 시작하려면 다음 안내를 따르세요.

  • 기본 Google 프로젝트를 설정합니다.
  • 개발자 키를 받습니다.
  • 기존 도구나 라이브러리에서 다음과 같이 변경합니다.

    • Cloud Storage 요청 엔드포인트를 사용하도록 요청 엔드포인트를 변경합니다.
    • Amazon Web Services(AWS) 액세스 및 비밀번호 키를 해당 Cloud Storage 액세스 키 및 비밀번호 키(통칭하여 Google 개발자 키)로 바꿉니다.

필요한 준비를 마쳤습니다. 이제 기존 도구와 라이브러리를 사용하여 키 해시 메시지 인증 코드(HMAC) 요청을 Cloud Storage에 보낼 수 있습니다.

예를 들어 다음 샘플은 Amazon S3 SDK를 사용하여 Cloud Storage 버킷을 나열하는 방법을 보여줍니다.

자바

자세한 내용은 Cloud Storage 자바 API 참조 문서를 참조하세요.

import com.amazonaws.auth.AWSStaticCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.client.builder.AwsClientBuilder;
import com.amazonaws.services.s3.AmazonS3;
import com.amazonaws.services.s3.AmazonS3ClientBuilder;
import com.amazonaws.services.s3.model.Bucket;

import java.util.List;

public class ListGcsBuckets {
  public static void listGcsBuckets(String googleAccessKeyId,
      String googleAccessKeySecret) {

    // String googleAccessKeyId = "your-google-access-key-id";
    // String googleAccessKeySecret = "your-google-access-key-secret";

    // Create a BasicAWSCredentials using Cloud Storage HMAC credentials.
    BasicAWSCredentials googleCreds = new BasicAWSCredentials(googleAccessKeyId,
        googleAccessKeySecret);

    // Create a new client and do the following:
    // 1. Change the endpoint URL to use the Google Cloud Storage XML API endpoint.
    // 2. Use Cloud Storage HMAC Credentials.
    AmazonS3 interopClient = AmazonS3ClientBuilder.standard()
            .withEndpointConfiguration(
                new AwsClientBuilder.EndpointConfiguration(
                    "https://storage.googleapis.com", "auto"))
            .withCredentials(new AWSStaticCredentialsProvider(googleCreds))
            .build();

    // Call GCS to list current buckets
    List<Bucket> buckets = interopClient.listBuckets();

    // Print bucket names
    System.out.println("Buckets:");
    for (Bucket bucket : buckets) {
      System.out.println(bucket.getName());
    }

    // Explicitly clean up client resources.
    interopClient.shutdown();
  }

Python

자세한 내용은 Cloud Storage Python API 참조 문서를 참조하세요.

import boto3

def list_gcs_buckets(google_access_key_id, google_access_key_secret):
    """Lists all GCS buckets using boto3 SDK"""
    # Create a new client and do the following:
    # 1. Change the endpoint URL to use the
    #    Google Cloud Storage XML API endpoint.
    # 2. Use Cloud Storage HMAC Credentials.
    client = boto3.client("s3", region_name="auto",
                          endpoint_url="https://storage.googleapis.com",
                          aws_access_key_id=google_access_key_id,
                          aws_secret_access_key=google_access_key_secret)

    # Call GCS to list current buckets
    response = client.list_buckets()

    # Print bucket names
    print("Buckets:")
    for bucket in response["Buckets"]:
        print(bucket["Name"])

대부분의 작업은 Amazon S3 V2 SDK를 통해 수행될 수 있지만, 목록 객체만 Amazon S3 V1 목록 객체 메소드를 통해 수행될 수 있습니다. 다음 샘플은 이러한 객체 목록을 보여줍니다.

자바

자세한 내용은 Cloud Storage 자바 API 참조 문서를 참조하세요.

import com.amazonaws.auth.AWSStaticCredentialsProvider;
import com.amazonaws.auth.BasicAWSCredentials;
import com.amazonaws.client.builder.AwsClientBuilder;

import com.amazonaws.services.s3.AmazonS3;
import com.amazonaws.services.s3.AmazonS3ClientBuilder;
import com.amazonaws.services.s3.model.ObjectListing;
import com.amazonaws.services.s3.model.S3ObjectSummary;

import java.util.List;

public class ListGcsObjects {
  public static void listGcsObjects(String googleAccessKeyId,
      String googleAccessKeySecret, String bucketName) {

    // String googleAccessKeyId = "your-google-access-key-id";
    // String googleAccessKeySecret = "your-google-access-key-secret";
    // String bucketName = "bucket-name";

    // Create a BasicAWSCredentials using Cloud Storage HMAC credentials.
    BasicAWSCredentials googleCreds = new BasicAWSCredentials(googleAccessKeyId,
        googleAccessKeySecret);

    // Create a new client and do the following:
    // 1. Change the endpoint URL to use the Google Cloud Storage XML API endpoint.
    // 2. Use Cloud Storage HMAC Credentials.
    AmazonS3 interopClient = AmazonS3ClientBuilder.standard()
            .withEndpointConfiguration(
                new AwsClientBuilder.EndpointConfiguration(
                    "https://storage.googleapis.com", "auto"))
            .withCredentials(new AWSStaticCredentialsProvider(googleCreds))
            .build();

    // Call GCS to list current objects
    ObjectListing objects = interopClient.listObjects(bucketName);

    // Print objects names
    System.out.println("Objects:");
    for (S3ObjectSummary object : objects.getObjectSummaries()) {
      System.out.println(object.getKey());
    }

    // Explicitly clean up client resources.
    interopClient.shutdown();
  }
}

Python

자세한 내용은 Cloud Storage Python API 참조 문서를 참조하세요.

import boto3

def list_gcs_objects(google_access_key_id, google_access_key_secret,
                     bucket_name):
    """Lists GCS objects using boto3 SDK"""
    # Create a new client and do the following:
    # 1. Change the endpoint URL to use the
    #    Google Cloud Storage XML API endpoint.
    # 2. Use Cloud Storage HMAC Credentials.

    client = boto3.client("s3", region_name="auto",
                          endpoint_url="https://storage.googleapis.com",
                          aws_access_key_id=google_access_key_id,
                          aws_secret_access_key=google_access_key_secret)

    # Call GCS to list objects in bucket_name
    response = client.list_objects(Bucket=bucket_name)

    # Print object names
    print("Objects:")
    for blob in response["Contents"]:
        print(blob["Key"])

단순 이전 시나리오에서 Cloud Storage XML API를 사용할 경우 Authorization 헤더에 AWS 서명 식별자를 지정하여 요청에 x-amz-* 헤더와 Amazon S3 ACL XML 구문이 포함된다고 Cloud Storage에 알릴 수 있습니다.

기본 프로젝트 설정하기

단순 이전 시나리오에서 Cloud Storage를 사용하려면 기본 프로젝트를 선택해야 합니다. 기본 프로젝트를 선택하면 Cloud Storage에서 GET service나 PUT bucket과 같은 작업에 이 프로젝트를 사용하게 됩니다.

기본 프로젝트를 설정하려면 다음 단계를 따르세요.

  1. Google Cloud Platform Console에서 Cloud Storage 설정 페이지를 엽니다.
  2. 상호 운용성을 선택합니다.
  3. PROJECT-ID를 기본 프로젝트로 설정을 클릭합니다.

    프로젝트가 이미 기본 프로젝트인 경우 PROJECT-ID이(가) 기본 프로젝트입니다라는 메시지가 나타납니다.

이 프로젝트가 이제 기본 프로젝트입니다. 다른 프로젝트를 선택하고 상호 운용이 가능한 액세스를 사용 설정하여 언제든지 기본 프로젝트를 변경할 수 있습니다.

단순 이전용 개발자 키 관리

단순 이전 시나리오에서 Cloud Storage XML API를 사용하려면 Cloud Storage 개발자 키와 함께 키 해시 메시지 인증 코드(HMAC) 인증을 사용해야 합니다. 개발자 키는 액세스 키와 보안 비밀로 구성됩니다. 액세스 키는 Google 계정에 연결되는 24자로 된 영숫자 문자열입니다. 쿠키 기반 인증을 사용하는 Cloud Storage 요청을 제외한 모든 인증된 Cloud Storage 요청에 액세스 키를 사용해야 Cloud Storage 시스템이 누가 요청을 하고 있는지 알 수 있습니다. 다음은 액세스 키의 예입니다.

GOOGTS7C7FUP3AIRVJTE2BCD

비밀번호는 특정 액세스 키에 연결되는 40자로 된 Base-64 인코딩 문자열입니다. 비밀번호는 사용자와 Cloud Storage 시스템만 아는 사전 공유된 키입니다. 인증 과정에서 비밀번호를 사용하여 모든 요청에 서명해야 합니다. 다음은 비밀번호의 예입니다.

bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ

개발자 키를 생성하려면 다음 단계를 따르세요.

  1. Google Cloud Platform Console에서 Cloud Storage 설정 페이지를 엽니다.
  2. 상호 운용성을 선택합니다.
  3. 이전에 상호 운용성을 설정하지 않은 경우 상호 운용성 액세스 사용 설정을 클릭합니다.
  4. 새 키 만들기를 클릭합니다.

개발자 키 작업을 위한 보안 팁

최대 5개의 개발자 키를 만들 수 있습니다. 이는 여러 프로젝트에서 작업하고 있고 프로젝트마다 다른 개발자 키를 사용하려는 경우 유용합니다.

키 관리 도구를 사용하여 개발자 키를 삭제하고 새 개발자 키를 만들 수도 있습니다. 개발자 키를 다른 사람이 사용하고 있다고 생각되거나 보안 권장사항인 키 순환을 위해 키를 변경해야 하는 경우 이렇게 할 수 있습니다. 개발자 키가 있는 경우 새 개발자 키를 만들려면 먼저 새 개발자 키로 코드를 업데이트한 다음 이전 키를 삭제하는 것이 좋습니다. 개발자 키를 삭제하면 키가 즉시 무효화되며 복구할 수 없습니다.

단순 이전 시나리오에서 인증하기

승인 헤더

인증이 필요한 단순 이전 시나리오 작업의 경우 Amazon S3에 대한 요청과 마찬가지로 Authorization 요청 헤더를 포함합니다. Amazon S3 요청의 Authorization 헤더 구문은 다음과 같습니다.

Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/CREDENTIAL_SCOPE, SignedHeaders=SIGNED_HEADERS, Signature=SIGNATURE

단순 이전 시나리오에서는 Google 개발자 액세스 키를 사용하도록 헤더만 변경하여 첨부된 Signature가 Google 개발자 보안 비밀 키로 계산되도록 합니다.

Authorization: ALGORITHM Credential=GOOG-ACCESS-KEY/CREDENTIAL_SCOPE, SignedHeaders=SIGNED_HEADERS, Signature=SIGNATURE

Authorization 헤더 부분은 다음과 같습니다.

  • ALGORITHM: 사용하고 있는 서명 알고리즘 및 버전입니다. AWS4-HMAC-SHA256을 사용하면 HMAC V4 서명을 사용하여 x-amz-* 헤더를 보내려고 함을 나타냅니다. 또한 GOOG4-HMAC-SHA256을 사용하면 HMAC V4 서명을 사용하여 x-goog-* 헤더를 보내려고 함을 나타냅니다.

  • GOOG-ACCESS-KEY: 액세스 키는 요청을 작성하고 서명하는 항목을 식별합니다. 단순 이전에서는 Amazon S3에 액세스하는 데 사용하는 Amazon Web Service(AWS) 액세스 키 ID를 Google 개발자 액세스 키로 바꿉니다. Google 개발자 액세스 키는 GOOG로 시작합니다.

  • CREDENTIAL_SCOPE: 사용자 인증 정보 범위는 다음과 같은 구조의 문자열입니다.

    DATE/LOCATION/SERVICE/REQUEST_TYPE
    • DATE: YYYYMMDD 형식의 날짜
    • LOCATION: 리소스가 상주하거나 생성될 리전
    • SERVICE: 서비스 이름
    • REQUEST_TYPE: 요청 유형

    Amazon S3 형식의 사용자 인증 정보 범위의 예는 다음과 같습니다.

    20150830/us-east-1/iam/aws4_request

    단순 이전에서는 ALGORITHM 값으로 AWS4-HMAC-SHA256을 사용하면 사용자 인증 정보 범위를 변경하지 않아도 됩니다. GOOG4-HMAC-SHA256을 사용하려면 aws4_requestgoog4_request로 바꿉니다.

  • SIGNED_HEADERS: 요청에 서명하기 위해 포함되어야 하는 세미콜론으로 구분된 헤더 이름 목록입니다. 모든 헤더는 소문자여야 하고 문자 코드로 정렬되어야 합니다.

    Amazon S3 형식의 서명된 헤더 문자열의 예는 다음과 같습니다.

    content-type;host;x-amz-date

    단순 이전에서는 서명된 헤더 문자열을 변경할 필요가 없습니다.

  • SIGNATURE: 요청의 인증을 가능케 한 서명할 문자열의 암호화 해시입니다. 서명은 HMAC-SHA256을 해시 함수로 사용하고 보안 비밀 및 사용자 인증 정보 범위에서 파생된 키를 암호화 키로 사용하여 생성됩니다. 생성된 다이제스트는 Base64로 인코딩됩니다. Cloud Storage는 서명된 요청을 수신하면 액세스 키를 사용하여 보안 비밀을 조회하고 해당 사용자가 서명을 만들었는지 확인합니다. 액세스 및 보안 비밀을 가져오는 방법에 대한 자세한 내용은 단순 이전 시나리오에서 액세스를 위한 개발자 키 관리하기를 참조하세요.

    단순 이전에서는 AWS 보안 비밀 액세스 키를 Google 개발자 키 보안 비밀로 바꿔 암호화 키를 만듭니다.

인증 계산

이 섹션에서는 단순 이전 시나리오에서 XML API 요청을 인증하는 프로세스를 설명합니다. 이 섹션을 사용하여 요청 서명을 위한 코드를 직접 개발할 수 있지만 Amazon S3에 대한 요청에 서명하는 도구나 라이브러리가 이미 있는지 검토하는 것이 주요 목적입니다. 이 경우 여기에서 언급하는 변경사항을 반영해 XML API를 사용하여 이러한 도구로 Cloud Storage에 계속 액세스할 수 있습니다.

이 인증은 비밀번호를 밝히지 않고 ID와 강력한 인증을 제공합니다. 모든 요청에서 ID와 인증을 둘 다 제공하면 모든 Cloud Storage 요청이 특정 사용자 계정과 그 계정의 권한으로 처리됩니다. 이는 사용자와 Cloud Storage 시스템만 비밀번호를 알기 때문에 가능합니다. 사용자가 요청을 만들면 Cloud Storage 시스템에서 사용자의 비밀번호로 사용자가 요청을 만들 때 계산한 요청용 서명을 동일하게 계산합니다. 서명이 일치하면 Cloud Storage 시스템에서 사용자만 요청을 만들 수 있었음을 확인합니다.

다음 의사 코드에서는 승인 헤더의 서명을 만드는 방법을 보여줍니다.

Signature = HexEncode(HMAC-SHA256(SiginingKey, StringToSign))

서명을 만들려면 HMAC-SHA256이라는 암호화 해시 함수를 사용합니다. HMAC-SHA256은 해시 기반 메시지 인증 코드(MAC)이며 RFC 4868에서 설명됩니다. 여기에는 입력 매개변수 두 개(UTF-8로 인코딩된 서명 키와 서명할 문자열)가 필요합니다.

서명 키는 Cloud Storage 보안 비밀에서 파생되며 요청과 관련된 날짜, 위치, 서비스, 요청 유형에 따라 달라집니다. 또한 이 값은 사용자 인증 정보 범위에서 지정된 값과 일치해야 합니다. 다음 의사 코드에서는 서명 키를 만드는 방법을 보여줍니다.

key_date = HMAC-SHA256("AWS4" + GOOG-ACCESS-KEY, "YYYYMMDD")
key_region = HMAC-SHA256(key_date, "us-east-1")
key_service = HMAC-SHA256(key_region, "s3")
signing_key = HMAC-SHA256(key_service, "aws4_request")

여기서 GOOG-ACCESS-KEY는 요청을 만들고 서명하는 항목을 식별합니다.

서명할 문자열에는 요청과 서명할 정규 요청의 메타 정보가 포함됩니다. 다음 의사 코드에서는 각 요소 사이에 줄바꿈 사용을 포함하여 서명할 문자열을 생성하는 방법을 보여줍니다.

SigningAlgorithm
RequestDateTime
CredentialScope
HashedCanonicalRequest

서명할 문자열에는 다음과 같은 구성요소가 있습니다.

  • SigningAlgorithm: 단순 이전의 경우 AWS4-HMAC-SHA256여야 합니다.
  • RequestDateTime: ISO 8601 형식(YYYYMMDD'T'HHMMSS'Z')의 현재 날짜 및 시간입니다.
  • CredentialScope: Authorization 헤더 섹션에 설명된 서명할 문자열 서명 요청의 사용자 인증 정보 범위입니다.
  • HashedCanonicalRequest: 정규 요청의 16진수로 인코딩된 SHA-256 해시입니다. SHA-256 해싱 함수를 사용하여 정규 요청의 해시 값을 만듭니다. 사용하는 프로그래밍 언어에 SHA-256 해시를 만들 수 있는 라이브러리가 있어야 합니다. 해시 값의 예는 다음과 같습니다.

    436b7ce722d03b17d3f790255dd57904f7ed61c02ac5127a0ca8063877e4e42c

서명할 문자열의 예는 다음과 같습니다.

AWS4-HMAC-SHA256
20190301T190859Z
20190301/us-east-1/s3/aws4_request
54f3076005db23fbecdb409d25c0ccb9fb8b5e24c59f12634654c0be13459af0

정규 요청

정규 요청은 서명할 요청의 정보를 포함하는 표준화된 형식의 HTTP 요청입니다. Cloud Storage가 요청을 수신하면 계산된 것과 동일한 서명을 계산할 수 있습니다. 사용자 버전과 Cloud Storage에서 계산한 버전이 일치하지 않으면 요청이 실패합니다.

정규 요청은 각 요소 사이에 줄바꿈을 사용하는 등 다음과 같은 구조를 갖춰야 합니다.

HTTP_VERB
PATH_TO_RESOURCE
CANONICAL_QUERY_STRING
CANONICAL_HEADERS

SIGNED_HEADERS
HexEncode(HMAC-SHA256(REQUEST_PAYLOAD))

정규 요청에는 다음과 같은 구성 요소가 있습니다.

  • HTTP_VERB: 서명된 요청과 함께 사용할 HTTP 동사입니다. 허용되는 값 목록은 HTTP 동사를 참조하세요.

  • PATH_TO_RESOURCE: 리소스의 경로입니다. 호스트 이름 다음에 시작됩니다.

  • CANONICAL_QUERY_STRING: 서명된 요청을 사용하는 요청에 포함되어야 하는 쿼리 문자열 매개변수입니다. 쿼리 문자열 매개변수는 알파벳 순서로 추가되고 &로 각각 구분됩니다.

  • CANONICAL_HEADERS: 확장 헤더를 포함하여 서명된 요청을 사용하는 요청에 포함되어야 하는 요청 헤더name:value 쌍입니다. 헤더는 알파벳순으로 추가되고 \n으로 각각 구분됩니다.

  • SIGNED_HEADERS: CANONICAL_HEADERS의 헤더 이름 목록입니다. 서명된 헤더 목록을 만들려면 모든 헤더 이름을 소문자로 변환하고, 문자 코드로 정렬하고, 세미콜론을 사용하여 각 헤더 이름을 구분합니다.

  • HexEncode(HMAC-SHA256(REQUEST_PAYLOAD)): 16진수로 인코딩된 SHA-256 해시 요청 페이로드입니다. 이 문자열은 정규 요청의 마지막 줄에 나타나야 합니다. 페이로드가 비어 있으면 빈 문자열을 해시 함수의 입력으로 사용합니다. 해시된 페이로드(빈 페이로드)의 예는 다음과 같습니다.

    3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

앞에서 소개된 정규 요청 의사 코드를 따르고 이들 요소를 모두 결합하면 아래 예와 같은 정규 요청 문자열을 얻게 됩니다.

GET
/

host:storage.googleapis.com
x-amz-content-sha256:e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
x-amz-date:20190301T190859Z

host;x-amz-content-sha256;x-amz-date
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

샘플 인증 요청

다음 예에서는 /europe/france/paris.jpg라는 객체를 my-travel-maps라는 버킷에 업로드하고, 미리 정의된 ACL public-read를 적용하고, 검토자용 커스텀 메타데이터 헤더를 정의합니다. 다음은 Amazon S3의 버킷에 대한 요청입니다.

PUT europe/france/paris.jpg HTTP/1.1
Host: my-travel-maps.s3.amazonaws.com
Date: Mon, 11 Mar 2019 23:46:19 GMT
Content-Length: 888814
Content-Type: image/jpg
x-amz-acl: public-read
x-amz-date:20190311T192918Z
x-amz-meta-reviewer: joe,jane
Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/20190311/us-east-1/s3/aws4_request, SignedHeaders=content-length;content-type;host;x-amz-acl;x-amz-date;x-amz-meta-reviewer, Signature=SIGNATURE

다음은 Cloud Storage의 버킷에 대한 요청입니다.

PUT europe/france/paris.jpg HTTP/1.1
Host: my-travel-maps.storage.googleapis.com
Date: Mon, 11 Mar 2019 23:46:19 GMT
Content-Length: 888814
Content-Type: image/jpg
x-amz-acl: public-read
x-amz-date:20190311T192918Z
x-amz-meta-reviewer: joe,jane
Authorization: AWS4-HMAC-SHA256 Credential=GOOG-ACCESS-KEY/20190311/us-east-1/s3/aws4_request, SignedHeaders=content-length;content-type;host;x-amz-acl;x-amz-date;x-amz-meta-reviewer, Signature=SIGNATURE

다음은 이 요청에 생성된 해당하는 정규 요청입니다.

PUT
/europe/france/paris.jpg

content-length:888814
content-type:image/jpg
host:my-travel-maps.storage.googleapis.com
x-amz-acl:public-read
x-amz-date:20190311T192918Z
x-amz-meta-reviewer:joe,jane

content-length,content-type,host,x-amz-acl,x-amz-date,x-amz-meta-reviewer
82e3da8b3f35989512e8d428add7eca73ab0e5f36586e66fbad8e1051343cbd2

다음은 이 요청에 생성된 해당 서명할 문자열입니다.

AWS4-HMAC-SHA256
20190311T192918Z
20190311/us-east-1/s3/aws4_request
73918a5ff373d7a03e406fbf9ea35675396b06fca2af76c27a5c451fa783ef65

이 요청은 Content-MD5 헤더를 제공하지 않으므로 메시지의 두 번째 줄에 빈 문자열이 표시됩니다.

단순 이전 시나리오에서 액세스 제어

단순 이전을 지원하기 위해 Cloud Storage는 Amazon S3에서 생성된 ACL을 허용합니다. 단순 이전 시나리오에서는 Amazon S3 ACL XML 구문을 사용하는 ACL 구문을 예상할 것을 Cloud Storage에 알리는 서명 식별자로 AWS를 사용합니다. 사용하는 Amazon S3 ACL이 Cloud Storage ACL 모델에 매핑되는지 확인해야합니다. 예를 들어 도구와 라이브러리에서 Amazon S3의 ACL 구문을 사용하여 버킷에 WRITE 권한을 부여하는 경우 버킷에도 READ 권한을 부여해야 합니다. 이는 Cloud Storage 권한이 공통적이기 때문입니다. Cloud Storage 구문을 사용하여 WRITE 권한을 부여할 때 WRITE 권한과 READ 권한을 모두 지정할 필요는 없습니다.

Cloud Storage는 다음 시나리오에서 Amazon S3 ACL 구문을 지원합니다.

  • GET Object 또는 GET Bucket 요청과 같이 ACL 검색을 위한 Cloud Storage 요청에서 Cloud Storage가 Amazon S3 ACL 구문을 반환합니다.
  • PUT Object 또는 PUT Bucket 요청과 같이 ACL 적용을 위한 Cloud Storage 요청에서 Cloud Storage는 Amazon S3 ACL 구문을 받을 것으로 예상합니다.

단순 이전 시나리오의 Authorization 헤더는 서명 식별자에 AWS를 사용하지만 Google 액세스 키도 함께 사용합니다.

Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/CREDENTIAL_SCOPE, SignedHeaders=SIGNED_HEADERS, Signature=SIGNATURE

다음 예에서는 객체의 ACL 반환을 위한 Cloud Storage에 대한 GET 요청을 보여줍니다.

GET europe/france/paris.jpg?acl HTTP/1.1
Host: my-travel-maps.storage.googleapis.com
Date: Thu, 21 Feb 2019 23:50:10 GMT
Content-Type: application/xml
X-Amz-Date: 20190221T235010Z
Authorization: AWS4-HMAC-SHA256 Credential=GOOGMC5PDPA5JLZYQMHQHRAX/20190221/region/s3/aws4_request, SignedHeaders=host;x-amz-date, Signature=29088b1d6dfeb2549f6ff67bc3744abb7e45475f0ad60400485805415bbfc534

이 요청의 응답에는 Amazon S3 ACL 구문을 사용하는 ACL이 포함됩니다.

<?xml version='1.0' encoding='UTF-8'?>
<AccessControlPolicy>
    <Owner>
        <ID>00b4903a972faa8bcce9382686e9129676f1cd6e5def1f5663affc2ba4652490
        </ID>
        <DisplayName>OwnerName</DisplayName>
    </Owner>
    <AccessControlList>
        <Grant>
            <Grantee xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance'
                xsi:type='CanonicalUser'>
                <ID>00b4903a972faa8bcce9382686e9129676f1cd6e5def1f5663affc2ba4652490</ID>
                <DisplayName>UserName</DisplayName>
            </Grantee>
            <Permission>FULL_CONTROL</Permission>
        </Grant>
    </AccessControlList>
</AccessControlPolicy>

다음 예에서는 객체의 ACL 설정을 위한 Cloud Storage에 대한 PUT 요청을 보여줍니다. 또한 Amazon S3 ACL 구문을 포함한 요청 본문을 보여줍니다.

PUT europe/france/paris.jpg?acl HTTP/1.1
Host: my-travel-maps.storage.googleapis.com
Date: Thu, 21 Feb 2019 23:50:10 GMT
Content-Type: application/xml
Content-Length: 337
X-Amz-Date: 20190221T235010Z
Authorization: AWS4-HMAC-SHA256 Credential=GOOGMC5PDPA5JLZYQMHQHRAX/20190221/region/s3/aws4_request, SignedHeaders=host;x-amz-date, Signature=29088b1d6dfeb2549f6ff67bc3744abb7e45475f0ad60400485805415bbfc534

<?xml version='1.0' encoding='utf-8'?>
<AccessControlPolicy>
  <AccessControlList>
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="AmazonCustomerByEmail">
        <EmailAddress>jane@gmail.com</EmailAddress>
      </Grantee>
      <Permission>FULL_CONTROL</Permission>
    </Grant>
  </AccessControlList>
</AccessControlPolicy>

마지막으로 단순 이전 시나리오에서는 Authorization 헤더에 GOOG1 서명 식별자를 사용할 수도 있습니다. 이 경우 Cloud Storage ACL 구문을 사용하고 모든 헤더가 Google 헤더(x-goog-*)인지 확인해야 합니다. 가능하면 아래 설명에 따라 전체 이전으로 전환하여 Cloud Storage의 모든 이점을 누리는 것이 좋습니다.

전체 이전

Amazon S3에서 Cloud Storage로 전체 이전을 통해 Cloud Storage의 모든 기능을 활용할 수 있습니다.

서비스 계정 지원
서비스 계정은 최종 사용자의 개입이 필요 없는 서버 간 상호작용에 유용합니다. 자세한 내용은 서비스 계정을 참조하세요.
여러 프로젝트 지원
여러 프로젝트를 통해 Cloud Storage 서비스의 많은 인스턴스를 보유할 수 있습니다. 또한 필요에 따라 애플리케이션이나 비즈니스의 다른 기능이나 서비스를 분리할 수 있습니다. 자세한 내용은 프로젝트 사용하기를 참조하세요.
OAuth 2.0 인증
OAuth 2.0은 애플리케이션에 암호화 서명을 직접 요구하지 않고 보안에 SSL을 사용하므로 구현하기가 더 쉽습니다. OAuth를 사용하면 애플리케이션에서 사용자의 Google 계정과 연결된 데이터에 대한 액세스를 요청할 수 있으며 읽기 전용, 읽기-쓰기, 전체 제어를 비롯한 여러 수준으로 액세스 범위를 지정할 수 있습니다. 자세한 내용은 OAuth 2.0 인증을 참조하세요.

Amazon S3에서 Cloud Storage로 완전히 이전하려면 다음 사항을 변경해야 합니다.

  • 기존 x-amz-* 헤더를 x-goog-* 헤더로 변경합니다.
  • AWS 액세스제어 목록(ACL) XML을 Cloud Storage ACL XML로 변경합니다(버킷 및 객체 ACL 지정하기 참조).
  • 요청에 x-goog-project-id 헤더를 설정합니다. 단순 이전 시나리오에서는 모든 요청에 기본 프로젝트를 선택했습니다. 전체 이전에서는 기본 프로젝트를 선택할 필요가 없습니다.
  • OAuth 2.0 인증에 설명된 대로 OAuth 2.0 인증을 설정합니다. 첫 번째 단계는 Google에 애플리케이션(요청을 실행하는 애플리케이션)을 등록하는 것입니다. OAuth 2.0을 사용하면 Authorization 헤더가 다음과 같이 표시됩니다.

    Authorization: Bearer <oauth2_token>

전체 이전에서 액세스 제어

이 섹션에서는 Amazon S3에서 Cloud Storage로 이전하는 데 도움이 되는 액세스 제어의 몇 가지 예를 보여줍니다. Cloud Storage에서 액세스 제어의 개요는 액세스 제어를 참조하세요.

Cloud Storage에서는 버킷과 객체에 ACL을 적용하는 여러 가지 방법이 있습니다(버킷 및 객체 ACL 지정하기 참조). ACL을 지정하는 방법 중 두 가지가 Amazon S3와 유사합니다.

  • 특정 범위의 ACL을 적용하기 위한 acl 쿼리 문자열 매개변수
  • x-goog-acl 요청 헤더를 사용하여 미리 준비된 ACL이라고도 하는 사전 정의된 ACL 적용

acl 쿼리 문자열 매개변수 사용하기

Amazon S3 요청에 사용할 때와 똑같은 방식으로 Cloud Storage 요청에 acl 쿼리 문자열 매개변수를 사용할 수 있습니다. acl 매개변수는 기존 객체, 기존 버킷, 생성하는 버킷에 ACL을 적용하기 위해 PUT 메서드와 함께 사용됩니다. PUT 요청에서 acl 쿼리 문자열 매개변수를 사용할 때 Cloud Storage ACL 구문을 사용하여 XML 문서를 요청 본문에 연결해야 합니다. XML 문서에는 버킷 또는 객체에 적용할 개별 ACL 항목이 들어 있습니다.

다음 예에서는 acl 쿼리 문자열 매개변수를 사용하는 Amazon S3에 대한 PUT 요청을 보여줍니다. ACL은 요청 본문으로 보내는 XML 문서에 정의됩니다. PUT 요청은 my-travel-maps라는 버킷에 있는 europe/france/paris.jpg라는 객체의 ACL을 변경합니다. ACL은 jane@gmail.com에 FULL_CONTROL 권한을 부여합니다.

PUT europe/france/paris.jpg?acl HTTP/1.1
Host: my-travel-maps.s3.amazonaws.com
Date: Wed, 06 Nov 2013 19:28:18 GMT
Content-Length: 598
Content-Type: application/xml
Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/20131106/us-east-1/s3/aws4_request, SignedHeaders=content-length;content-type;date;host, Signature=4c45f25bb679fdab0de5a287625d6a143414728d93c9aeb9f4cc91c33a1c45fg

<?xml version='1.0' encoding='utf-8'?>
<AccessControlPolicy>
  <Owner>
    <ID>5a6557ba40f7c86496ffceae789fcd888abc1b62a7149873a0fe12c0f60a7d95</ID>
    <DisplayName>ownerEmail@example.com</DisplayName>
  </Owner>
  <AccessControlList>
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser">
        <ID>fd447671d60b979f78ee6fcec7b22afc80e6b26a4db16eed01afb8064047949b</ID>
        <DisplayName>jane@gmail.com</DisplayName>
      </Grantee>
      <Permission>FULL_CONTROL</Permission>
    </Grant>
  </AccessControlList>
</AccessControlPolicy>

다음은 Cloud Storage에 대한 동일한 요청입니다.

PUT europe/france/paris.jpg?acl HTTP/1.1
Host: my-travel-maps.storage.googleapis.com
Date: Wed, 06 Nov 2013 19:37:33 GMT
Content-Length: 268
Content-Type: application/xml
Authorization: Bearer ya29.AHES6ZRVmB7fkLtd1XTmq6mo0S1wqZZi3-Lh_s-6Uw7p8vtgSwg

<?xml version='1.0' encoding='utf-8'?>
<AccessControlList>
  <Entries>
  <Entry>
    <Permission>FULL_CONTROL</Permission>
    <Scope type="UserByEmail">
      <EmailAddress>jane@gmail.com</EmailAddress>
    </Scope>
  </Entry>
  </Entries>
</AccessControlList>

Cloud Storage에서는 ACL XML 문서에 <Owner/> 요소가 필요하지 않습니다. 자세한 내용은 기본 객체 ACL을 참조하세요.

acl 쿼리 문자열 매개변수를 GET 메소드와 함께 사용하여 버킷 및 객체 ACL을 검색할 수도 있습니다. ACL은 응답 본문에 연결된 XML 문서에 설명되어 있습니다. 객체 또는 버킷에서 ACL을 적용하거나 검색하려면 FULL_CONTROL 권한이 있어야 합니다.

확장 요청 헤더가 있는 ACL 적용

Amazon S3 요청에 x-amz-acl 헤더를 사용할 때와 똑같은 방법으로 Cloud Storage 요청에 x-goog-acl 헤더를 사용하여 버킷과 객체에 사전 정의된 ACL을 적용할 수 있습니다. 버킷이나 객체를 만들거나 업로드할 때 대개 x-goog-acl(x-amz-acl) 헤더를 사용하여 버킷이나 객체에 사전 정의된 ACL을 적용합니다. Cloud Storage의 사전 정의된 ACL은 비공개, 공개 읽기, 공개 읽기 및 쓰기 등을 포함하여 Amazon S3의 미리 준비된 ACL과 비슷합니다. Cloud Storage 사전 정의된 ACL의 목록은 사전 정의된 ACL을 참조하세요.

다음 예에서는 Amazon S3에서 my-travel-maps라는 버킷에 업로드되는 europe/france/paris.jpg라는 객체에 public-read ACL을 적용하는 PUT Object 요청을 보여줍니다.

PUT europe/france/paris.jpg HTTP/1.1
Host: my-travel-maps.s3.amazonaws.com
Date: Wed, 06 Nov 2013 20:48:42 GMT
Content-Length: 888814
Content-Type: image/jpg
x-amz-acl: public-read
Authorization: AWS4-HMAC-SHA256 Credential=AWS-ACCESS-KEY/20131106/us-east-1/s3/aws4_request, SignedHeaders=content-length;content-type;date;host, Signature=808150c37dbd1b425b2398421d6fc3dd6d4942dfaae9e519fd5835aa62fd62ab

<888814 bytes in entity body>

다음은 Cloud Storage에 대한 동일한 요청입니다.

PUT europe/france/paris.jpg HTTP/1.1
Host: my-travel-maps.storage.googleapis.com
Date: Wed, 06 Nov 2013 20:49:57 GMT
Content-Length: 888814
Content-Type: image/jpg
x-goog-acl: public-read
Authorization: Bearer ya29.AHES6ZRVmB7fkLtd1XTmq6mo0S1wqZZi3-Lh_s-6Uw7p8vtgSwg

<888814 bytes in entity body>

x-goog-acl 헤더를 사용하여 사전 정의된 ACL을 기존 버킷이나 객체에 적용할 수도 있습니다. 이를 위해서는 요청에 acl 쿼리 문자열 매개변수를 포함하지만 XML 문서를 포함하지 않습니다. 기존 버킷이나 객체에 사전 정의된 ACL을 적용하는 것은 한 사전 정의된 ACL에서 다른 사전 정의된 ACL로 변경하려 하거나 커스텀 ACL을 사전 정의된 ACL로 업데이트하려는 경우에 유용합니다. 예를 들어 다음 PUT Object 요청은 my-travel-maps라는 버킷에 있는 europe/france/paris.jpg라는 객체에 사전 정의된 ACL private을 적용합니다.

PUT europe/france/paris.jpg?acl HTTP/1.1
Host: my-travel-maps.storage.googleapis.com
Date: Wed, 06 Nov 2013 00:26:36 GMT
Content-Length: 0
x-goog-acl: private
Authorization: Bearer ya29.AHES6ZRVmB7fkLtd1XTmq6mo0S1wqZZi3-Lh_s-6Uw7p8vtgSwg

<empty entity body>

ACL 관리에 대한 자세한 내용은 액세스 제어 관리하기를 참조하세요.

Amazon S3에서 Cloud Storage로 요청 메소드 이전하기

Cloud Storage는 버킷에서 데이터 읽기 및 쓰기에 Amazon S3와 동일한 표준 HTTP 요청 메소드를 지원합니다. 따라서 현재 Amazon S3에서 사용하는 대부분의 도구와 라이브러리가 Cloud Storage에서 그대로 작동합니다. Cloud Storage는 다음 요청 메소드를 지원합니다.

  • GET을 위한 서비스 요청
  • PUT, GET, DELETE를 포함한 버킷 요청
  • GET, POST, PUT, HEAD, DELETE를 포함한 객체 요청

자세한 내용은 XML API 참조 메소드를 참조하세요. Cloud Storage에 요청을 보낼 때 필요시 적절한 Cloud Storage 구문을 사용하도록 요청 본문을 변경해야 합니다. 예를 들어, 버킷의 수명 주기 구성을 만들 때 Amazon S3 수명 주기 XML과 다른 Cloud Storage 수명 주기 XML을 사용합니다.

Cloud Storage XML API와 Amazon S3의 몇 가지 차이점이 권장되는 Cloud Storage 대안과 함께 아래에 요약되어 있습니다.

Amazon S3 기능 Cloud Storage XML API 기능
다중파트 업로드
POST /<object-name>, PUT /<object-name>

Cloud Storage XML API에서 일련의 구성요소 객체를 업로드하여 구성 요소마다 업로드를 따로 수행할 수 있습니다. 그런 다음 여러 객체를 단일 복합 객체로 합칠 수 있습니다.

참고: JSON API는 다중파트 업로드 기능을 제공하지만 이 기능은 객체 데이터와 함께 메타데이터를 전송하는 데 사용됩니다. S3의 다중파트 업로드 기능과는 다릅니다.

GET/POST 버킷 쿼리 문자열 매개변수:
  • 'policy' - Amazon S3 버킷 정책 작업
  • 'website' - 버킷 웹사이트 구성
  • 'tagging' - 비용 할당을 위해 버킷에 태그 지정
  • 'notification' - 버킷 이벤트 알림
  • 'requestPayment' - 누가 요청과 버킷 데이터 다운로드 비용을 지불하는지 구성
대안:
  • 'policy' - Cloud Storage ACL, 프로젝트팀 멤버십, 버킷 정책이 사용되는 많은 시나리오를 처리하는 데 여러 프로젝트를 사용하는 기능
  • 'website' - gsutil web 명령어를 사용하여 웹사이트 관리 또는 JSON API 사용(버킷 리소스 참조)
  • 'tagging' - 복수의 프로젝트를 사용하여 여러 비용 센터 추적. 프로젝트에 대한 자세한 내용은 프로젝트 관리하기를 참조하세요.
  • 'notification' - gsutil 또는 JSON API Cloud Pub/Sub 알림 사용
  • 'requestPayment' - 서로 다른 결제 프로필을 가진 여러 프로젝트를 사용하여 누가 요청과 버킷에서 다운로드한 데이터 비용을 지불하는지 관리. 결제 구성에 대한 자세한 내용은 Google API 콘솔 도움말 문서의 결제하기를 참조하세요.
다중 객체 삭제
POST /?delete

여러 객체를 쉽게 삭제하려면 gsutil rm 명령어를 사용합니다. rm 명령어는 '-m' 옵션을 지원하여 병렬(다중 스레드/다중 처리) 삭제를 수행합니다.

또는 JSON API에서 클라이언트가 만드는 HTTP 연결 수를 줄이기 위한 일괄 요청 전송을 지원합니다.

Amazon S3에서 Cloud Storage로 헤더 이전하기

Cloud Storage는 여러 표준 HTTP 헤더와 여러 커스텀(확장) HTTP 헤더를 사용합니다. Amazon S3에서 Cloud Storage로 전환하는 경우 아래 표와 같이 커스텀 Amazon S3 헤더를 해당 Cloud Storage 커스텀 헤더 또는 유사 기능으로 변환할 수 있습니다.

Amazon S3 헤더 Cloud Storage 헤더
x-amz-acl x-goog-acl
x-amz-date x-goog-date
x-amz-meta-* x-goog-meta-*
x-amz-grant-* x-goog-acl(사전 정의된 ACL 값 포함)
x-amz-copy-source x-goog-copy-source
x-amz-metadata-directive x-goog-metadata-directive
x-amz-copy-source-if-match x-goog-copy-source-if-match
x-amz-copy-source-if-none-match x-goog-copy-source-if-none-match
x-amz-copy-source-if-unmodified-since x-goog-copy-source-if-unmodified-since
x-amz-copy-source-if-modified-since x-goog-copy-source-if-modified-since
x-amz-server-side-encryption 필수 항목이 아닙니다. Cloud Storage는 디스크에 기록하기 전에 모든 데이터를 자동으로 암호화합니다. 자세한 내용은 암호화를 참조하세요.
x-amz-storage-class 버킷을 만들 때 저장소 등급을 지정할 수 있습니다. 자세한 내용은 저장소 등급을 참조하세요.
x-amz-mfa OAuth 2.0 인증을 사용합니다.
x-amz-website-redirect-location, x-amz-copy-source-range 해당 사항 없음

Amazon S3와의 XML API 호환성을 위한 토론 그룹 및 지원

이전에 XML API 상호 운용성 및 이전 문제를 지원한 Cloud Storage gs-discussion 그룹이 보관 모드에 있습니다. 이 토론 포럼은 이제 google-cloud-storage 태그를 사용하여 Stack Overflow에서 액세스할 수 있습니다. 토론 포럼 및 공지 구독에 대한 자세한 내용은 리소스 및 지원 페이지를 참조하세요.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

도움이 필요하시나요? 지원 페이지를 방문하세요.