어제(day2)는 S3 데이터를 어떻게 암호화·보존하는지 다뤘다. 오늘은 누가 접근하는가를 결정하는 인가 계층을 깊게 파고든다. S3의 접근 통제는 여러 메커니즘이 겹쳐 평가되며, 시험은 "여러 정책이 동시에 존재할 때 최종 결과가 무엇인가"를 끊임없이 묻는다. 핵심은 명시적 Deny가 항상 이긴다는 IAM 평가 모델과, 암호화·전송보안·네트워크 경로를 정책 조건으로 강제하는 패턴이다.
S3 객체 하나에 접근하려는 요청은 다음 메커니즘들의 결합으로 평가된다:
요청 → [최종 인가 = (모든 적용 정책의 Allow 합집합) - (어떤 정책의 Deny)]
명시적 Deny가 하나라도 있으면 → 거부 (다른 Allow 무시)
교차계정이면 → 양쪽(소유자·요청자) 정책 모두 Allow 필요