동향 및 공지

릴리스 노트

제품 공지

제품 소개

제품 개요

기능 개요

적용 시나리오

제품 장점

기본 개념

리전 및 액세스 도메인

규격 및 제한

제품 요금

과금 개요

과금 방식

과금 항목

프리 티어

과금 예시

청구서 보기 및 다운로드

연체 안내

FAQ

빠른 시작

콘솔 시작하기

COSBrowser 시작하기

사용자 가이드

요청 생성

버킷

객체

데이터 관리

일괄 프로세스

글로벌 가속

모니터링 및 알람

운영 센터

데이터 처리

스마트 툴 박스 사용 가이드

데이터 워크플로

애플리케이션 통합

툴 가이드

툴 개요

환경 설치 및 설정

COSBrowser 툴

COSCLI 툴

COSCMD 툴

COS Migration 툴

FTP Server 툴

Hadoop 툴

COSDistCp 툴

HDFS TO COS 툴

온라인 도구 (Onrain Dogu)

자가 진단 도구

실습 튜토리얼

개요

액세스 제어 및 권한 관리

성능 최적화

AWS S3 SDK를 사용하여 COS에 액세스하기

데이터 재해 복구 백업

도메인 관리 사례

이미지 처리 사례

COS 오디오/비디오 플레이어 사례

데이터 다이렉트 업로드

데이터 보안

데이터 검증

빅 데이터 사례

COS 비용 최적화 솔루션

3rd party 애플리케이션에서 COS 사용

마이그레이션 가이드

로컬 데이터 COS로 마이그레이션

타사 클라우드 스토리지 데이터를 COS로 마이그레이션

URL이 소스 주소인 데이터를 COS로 마이그레이션

COS 간 데이터 마이그레이션

Hadoop 파일 시스템과 COS 간 데이터 마이그레이션

데이터 레이크 스토리지

클라우드 네이티브 데이터 레이크

메타데이터 가속

데이터 레이크 가속기 GooseFS

데이터 처리

데이터 처리 개요

이미지 처리

미디어 처리

콘텐츠 조정

파일 처리

문서 미리보기

장애 처리

RequestId 가져오기

공용 네트워크로 COS에 파일 업로드 시 속도가 느린 문제

COS 액세스 시 403 에러 코드 반환

리소스 액세스 오류

POST Object 자주 발생하는 오류

보안 및 컴플라이언스

데이터 재해 복구

데이터 보안

액세스 관리

자주 묻는 질문

ACL

PDF

포커스 모드

폰트 크기

마지막 업데이트 시간: 2025-09-11 16:16:27

기본 개념
액세스 제어 리스트(ACL)는 XML 언어를 사용하며, 리소스와 관련된 권한 부여자 및 권한 수여자 리스트입니다. 각각의 버킷과 객체에는 모두 이와 관련된 ACL이 있으며, 익명 사용자나 다른 Tencent Cloud의 루트 계정에 기본적인 읽기 및 쓰기 권한을 부여합니다.
주의：
 리소스와 관련된 ACL 관리에는 다음과 같은 제한이 있습니다.
리소스 소유자는 항상 리소스에 대해 FULL_CONTROL 권한을 가지며, 권한을 철회 또는 수정할 수 없습니다.
익명 사용자는 리소스 소유자가 될 수 없으며, 이때 객체 리소스의 소유자는 버킷의 생성자(Tencent Cloud 루트 계정)에 속합니다.
Tencent Cloud CAM(Cloud Access Management) 루트 계정 또는 사전 설정 사용자 그룹에만 권한을 부여할 수 있으며 사용자 정의 사용자 그룹에는 권한을 부여할 수 없으므로 서브 계정에게 권한을 부여하지 않는 것이 좋습니다.
권한에 대한 추가 조건은 지원하지 않습니다.
거부 표시 권한은 지원하지 않습니다.
하나의 리소스는 최대 100개의 ACL 정책을 가질 수 있습니다.
적용 시나리오
주의：
 공개 익명 사용자 액세스(공개 읽기)는 매우 위험한 작업으로 트래픽 도용의 리스크가 있으므로 공개 읽기를 사용해야 하는 경우 보안을 위해 링크 도용 방지 설정을 할 수 있습니다.
간단한 액세스 권한을 설정하거나 또는 버킷 및 객체에 대한 익명 액세스를 개방해야 하는 경우 ACL을 선택하십시오. 그러나 더 많은 경우에는 더 유연한 버킷 정책 또는 사용자 정책을 먼저 사용하는 것이 좋습니다. ACL에 적용 가능한 시나리오는 다음과 같습니다.
단순 액세스 권한만 설정합니다.
콘솔에서 액세스 권한을 빠르게 설정합니다.
모든 익명의 인터넷 사용자에게 객체, 디렉터리 또는 버킷을 개방하며 ACL 작업이 더 편리합니다.
ACL의 요소
자격 Grantee
CAM의 루트 계정 또는 사전 설정된 CAM 사용자 그룹은 권한을 수여할 수 있습니다.
주의：
기타 Tencent Cloud 루트 계정에 액세스 권한을 부여했을 때, 이 권한을 받은 루트 계정은 해당 루트 계정에 속해 있는 서브 계정, 사용자 그룹 또는 역할에 액세스 권한을 부여할 수 있습니다.
COS(Cloud Object Storage)는 익명 사용자 또는 CAM 사용 그룹에 WRITE, WRITE_ACP 또는 FULL_CONTROL 권한 부여를 권장하지 않습니다. 권한 부여를 허용하면 사용자 그룹이 귀하의 리소스를 업로드/다운로드/삭제할 수 있고 이로 인해 데이터 손실, 비용 차감 등 리스크가 발생할 수 있습니다.
버킷 또는 객체의 ACL에서 권한을 수여할 수 있는 자격은 다음을 포함합니다.
계정 간: 루트 계정의 ID를 사용하고, 계정 센터의 계정 정보를 통해 계정 ID를 받으십시오. (예시: 100000000001)
사전 설정 사용자 그룹: URI 태그를 사용해 사전 설정된 사용자 그룹을 표기하십시오. 지원되는 사용자 그룹은 다음을 포함합니다.
익명 사용자 그룹 - http://cam.qcloud.com/groups/global/AllUsers 해당 그룹은 요청에 서명을 했든지 안 했든지, 누구나 권한 부여 없이 리소스에 액세스할 수 있다는 의미입니다.
인증 사용자 그룹 - http://cam.qcloud.com/groups/global/AuthenticatedUsers 해당 그룹은 Tencent Cloud CAM 계정의 인증을 거친 사용자는 모두 리소스에 액세스할 수 있다는 의미입니다.
작업 Permission
Tencent Cloud COS가 리소스 ACL에서 지원하는 작업은 사실상 일련의 작업 그룹으로, 버킷 및 객체 ACL에는 각각 다른 의미를 갖습니다.
버킷의 작업
아래 표는 버킷 ACL에서 설정을 지원하는 작업 리스트입니다.
작업 그룹
설명                              
허용된 동작
READ
객체 나열
HeadBucket、GetBucketObjectVersions、ListMultipartUploads
WRITE
객체 업로드, 덮어쓰기 및 삭제
PutObject、PutObjectCopy、PostObject、InitiateMultipartUpload、UploadPart、UploadPartCopy、CompleteMultipartUpload、 DeleteObject
READ_ACP
버킷의 ACL 읽기
GetBucketACL
WRITE_ACP
버킷의 ACL 쓰기
PutBucketACL
FULL_CONTROL
이상 네 가지 권한의 집합
이상 모든 동작의 집합
주의：
 버킷의 WRITE, WRITE_ACP 또는 FULL_CONTROL 권한 부여에 신중하시기 바랍니다. 버킷에 부여된 WRITE 권한은 권한 수여자 모든 객체를 덮어쓰기 또는 삭제할 수 있도록 허용합니다.
객체의 작업
아래 표는 객체 ACL에서 설정을 지원하는 작업 리스트입니다.
작업 그룹
설명
허용된 동작
READ
객체 읽기
GetObject、GetObjectVersion、HeadObject
READ_ACP
객체의 ACL 읽기
GetObjectACL、GetObjectVersionACL
WRITE_ACP
객체의 ACL 쓰기
PutObjectACL、PutObjectVersionACL
FULL_CONTROL
이상 세 가지 권한의 집합
이상 모든 동작의 집합
설명：
객체는 WRITE 작업 그룹 권한 부여를 지원하지 않습니다.
사전 설정한 ACL
COS는 일련의 사전 설정된 ACL에 대한 권한 부여를 지원하며 간단한 권한을 쉽게 설명할 수 있습니다. ACL 사전 설정을 사용할 때, PUT Bucket/Object 또는 PUT Bucket/Object acl에서 x-cos-acl 헤더를 가져옴과 동시에 필요한 권한을 설명합니다. 만약 동시에 본문 요청 중 XML의 설명 콘텐츠를 가져왔을 경우, 헤더 설명을 먼저 선택하고 본문 요청 중의 XML 설명은 무시합니다.
버킷의 사전 설정 ACL
사전 설정 명칭
설명
private
생성자(루트 계정)는 FULL_CONTROL 권한을 가지며, 다른 사람은 권한이 없습니다.(기본값)
public-read
생성자는 FULL_CONTROL 권한을 가지며, 익명 사용자 그룹은 READ 권한을 갖습니다.
public-read-write
생성자와 익명 사용자 그룹이 모두 FULL_CONTROL 권한을 가지며, 이 권한을 부여하는 것은 권장하지 않습니다.
authenticated-read
생성자는 FULL_CONTROL 권한을 가지며, 인증 사용자 그룹은 READ 권한을 갖습니다.
객체의 사전 설정 ACL
사전 설정 명칭
설명
default
설명이 비어 있을 때, 각 레벨 디렉터리의 명시적 설정 및 버킷의 설정에 따라 요청이 허용됐는지 확인합니다.(기본값)
private
생성자(루트 계정)는 FULL_CONTROL 권한을 가지며, 다른 사람은 권한이 없습니다.
public-read
생성자는 FULL_CONTROL 권한을 가지며, 익명 사용자 그룹은 READ 권한을 갖습니다.
authenticated-read
생성자는 FULL_CONTROL 권한을 가지며, 인증 사용자 그룹은 READ 권한을 갖습니다.
bucket-owner-read
생성자는 FULL_CONTROL 권한을 가지며, 버킷 소유자는 READ 권한을 갖습니다.
bucket-owner-full-control
생성자와 버킷 소유자가 FULL_CONTROL 권한을 갖습니다.
설명：
 객체는 public-read-write 권한 부여를 지원하지 않습니다.
예시
버킷의 ACL
버킷 생성 시 COS는 기본 ACL을 생성하여, 리소스 소유자가 리소스에 대한 전체 제어 권한을 부여 받도록 합니다. 예시는 다음과 같습니다.
<AccessControlPolicy>
  <Owner>
    <ID>Owner-Cononical-CAM-User-Id</ID>
  </Owner>
  <AccessControlList>
    <Grant>
      <Grantee>
        <ID>Owner-Cononical-CAM-User-Id</ID>
      </Grantee>
      <Permission>FULL_CONTROL</Permission>
    </Grant>
  </AccessControlList>
</AccessControlPolicy>
객체의 ACL
객체 생성 시, COS는 기본적으로 ACL을 생성하지 않으며, 이때 객체의 소유자는 버킷 소유자입니다. 객체 상속 버킷의 권한은 버킷의 액세스 권한과 일치합니다. 객체는 기본적으로 ACL을 가지지 않으므로 버킷 정책(Bucket Policy) 중 방문자와 그의 동작의 정의에 따라 요청이 허용 여부를 판단합니다. 자세한 내용은 액세스 정책 언어 개요 문서를 참고하십시오.
객체에 기타 액세스 권한을 부여해야 할 경우, 이를 기초로 더 많은 ACL을 추가해 객체의 액세스 권한을 설명할 수 있습니다. 예를 들어 익명 사용자에게 단일 객체에 대한 읽기 전용 권한을 부여하는 방법은 다음과 같습니다.
<AccessControlPolicy>
  <Owner>
    <ID>Owner-Cononical-CAM-User-Id</ID>
  </Owner>
  <AccessControlList>
    <Grant>
      <Grantee>
        <ID>Owner-Cononical-CAM-User-Id</ID>
      </Grantee>
      <Permission>FULL_CONTROL</Permission>
    </Grant>
    <Grant>
      <Grantee>
        <URI>http://cam.qcloud.com/groups/global/AllUsers</URI>
      </Grantee>
      <Permission>READ</Permission>
    </Grant>
  </AccessControlList>
</AccessControlPolicy>
사용 방법
COS 콘솔 사용
액세스 권한 설정
COS 콘솔에서 버킷의 액세스 권한을 설정하거나 수정할 수 있으며, COS는 두 가지의 권한 유형을 지원합니다.
공용 권한: 개인 읽기/쓰기, 공개 읽기/개인 쓰기, 공개 읽기/쓰기가 가능합니다. 공용 권한에 관한 내용은 버킷 개요의 권한 유형을 참고하십시오.
사용자 ACL: 루트 계정에는 기본적으로 모든 버킷 권한(전체 제어)이 있습니다. 서브 계정을 추가하고 데이터 읽기/쓰기, ACL 읽기/쓰기 및 전체 제어를 포함한 권한을 부여할 수 있습니다.
설명：
버킷이 개인 읽기/쓰기이거나 지정된 계정에 사용자 권한이 부여된 경우 객체 요청 시 본인 확인을 위해 서명이 필요하며 서명 방법은 서명 요청을 참고하십시오.
버킷이 공개 읽기/개인 쓰기 또는 공개 읽기/쓰기인 경우 객체 요청 시 서명이 필요하지 않아, 익명 사용자가 링크를 통해 객체에 직접 액세스할 수 있는 리스크가 있습니다. 데이터가 유출될 리스크가 있으니 신중하게 설정하십시오.
개별 권한 부여
1. ﻿COS 콘솔에 로그인합니다.
2. 왼쪽 사이드바에서 버킷 리스트를 클릭합니다.
3. 액세스 권한을 설정 또는 수정할 버킷을 찾아 버킷 이름을 클릭합니다.
4. 버킷 설정 페이지에서 권한 관리 > 버킷 액세스 권한을 클릭하면 버킷의 공용 권한과 사용자 권한(서브 계정을 추가했다면 CAM 콘솔에서 조회)을 설정할 수 있습니다.
주의:  
기본 알람이 설정되지 않은 경우 공용 읽기/비공용 쓰기 또는 공용 읽기/쓰기 권한을 사용해야 하는 경우 알람 정책을 활성화하는 것이 좋습니다. 이미 설정된 경우 추가 설정이 필요 없으며 알림도 표시되지 않습니다.
5. 저장을 클릭합니다.
일괄 권한 부여
1. ﻿COS 콘솔에 로그인합니다.
2. 왼쪽 사이드바에서 버킷 리스트를 클릭합니다.
3. 리스트 상단의 라이선스 관리를 클릭합니다.
4. 알림창에서 권한을 부여할 버킷을 선택한 뒤 버킷의 공용 권한과 사용자 권한(서브 계정을 추가했다면 CAM 콘솔에서 조회)을 설정할 수 있습니다.
주의:  
권한 관리는 공용 권한과 사용자 권한을 동시에 수정합니다. 사용자 권한만 수정해야 하는 경우 이전 버킷의 공용 권한과 현재 설정이 일치하는지 반드시 확인하십시오. 그렇지 않으면 이전 권한이 덮어쓰여집니다.
5. 설정을 완료 후, 확인을 클릭하면 여러 버킷에 대한 액세스 권한이 설정됩니다.
객체의 액세스 권한 설정
COS(Cloud Object Storage)는 객체 차원에 기반한 액세스 권한 설정을 제공하며, 이 권한의 우선순위는 버킷의 우선순위보다 높습니다.
설명：
객체의 액세스 권한은 사용자가 기본값으로 설정된 도메인을 통해 액세스할 때만 유효합니다. CDN 가속 도메인과 사용자 정의 도메인을 통해 액세스할 경우 버킷 액세스 권한을 기준으로 합니다.
액세스 정책 규칙에는 수량 제한이 있습니다. 세부 사항은 규격 및 제한을 참고하십시오.
작업 순서
1. ﻿COS 콘솔에 로그인합니다.
2. 왼쪽 메뉴에서 버킷 리스트 를 클릭하여 버킷 리스트 페이지로 이동합니다.
3. 객체가 속한 버킷을 찾아 그 버킷 이름을 클릭하여 버킷 관리 페이지로 이동합니다.
4. 왼쪽 메뉴에서 파일 리스트 를 선택하여 파일 리스트 페이지로 이동합니다.
5. 권한 설정이 필요한 객체를 찾으면 오른쪽  상세 내용 을 클릭하여 파일 상세 페이지로 이동합니다(폴더인 경우 오른쪽 권한 설정 을 클릭해도 됩니다).
6. ‘객체 액세스 권한’ 메뉴에서 필요에 따라 액세스 권한을 설정합니다.
COS는 객체에 대한 두 가지 유형의 권한 설정을 지원합니다.
공용 권한: 상속 권한, 개인 읽기/쓰기, 공개 읽기 및 개인 쓰기를 포함합니다. 공용 권한에 대한 설명은 객체 개요의 권한 유형을 참고하십시오.
사용자 권한: 루트 계정은 기본적으로 객체의 모든 권한을 소유합니다(완전 제어 가능). 
7. 저장 을 클릭하면 객체의 액세스 권한 설정이 완료됩니다.
여러 객체에 대한 액세스 권한을 일괄 설정하거나 수정해야 하는 경우 여러 객체를 선택하고 상단의 더 많은 조작 > 액세스 권한 수정 을 클릭하여 설정할 수 있습니다.

도움말 및 지원

문제 해결에 도움이 되었나요?

더 자세한 내용은 문의하기 또는 티겟 제출 을 통해 문의할 수 있습니다.

피드백

작업 그룹	설명	허용된 동작
READ	객체 나열	HeadBucket、GetBucketObjectVersions、ListMultipartUploads
WRITE	객체 업로드, 덮어쓰기 및 삭제	PutObject、PutObjectCopy、PostObject、InitiateMultipartUpload、UploadPart、UploadPartCopy、CompleteMultipartUpload、 DeleteObject
READ_ACP	버킷의 ACL 읽기	GetBucketACL
WRITE_ACP	버킷의 ACL 쓰기	PutBucketACL
FULL_CONTROL	이상 네 가지 권한의 집합	이상 모든 동작의 집합

사전 설정 명칭	설명
private	생성자(루트 계정)는 FULL_CONTROL 권한을 가지며, 다른 사람은 권한이 없습니다.(기본값)
public-read	생성자는 FULL_CONTROL 권한을 가지며, 익명 사용자 그룹은 READ 권한을 갖습니다.
public-read-write	생성자와 익명 사용자 그룹이 모두 FULL_CONTROL 권한을 가지며, 이 권한을 부여하는 것은 권장하지 않습니다.
authenticated-read	생성자는 FULL_CONTROL 권한을 가지며, 인증 사용자 그룹은 READ 권한을 갖습니다.

사전 설정 명칭	설명
default	설명이 비어 있을 때, 각 레벨 디렉터리의 명시적 설정 및 버킷의 설정에 따라 요청이 허용됐는지 확인합니다.(기본값)
private	생성자(루트 계정)는 FULL_CONTROL 권한을 가지며, 다른 사람은 권한이 없습니다.
public-read	생성자는 FULL_CONTROL 권한을 가지며, 익명 사용자 그룹은 READ 권한을 갖습니다.
authenticated-read	생성자는 FULL_CONTROL 권한을 가지며, 인증 사용자 그룹은 READ 권한을 갖습니다.
bucket-owner-read	생성자는 FULL_CONTROL 권한을 가지며, 버킷 소유자는 READ 권한을 갖습니다.
bucket-owner-full-control	생성자와 버킷 소유자가 FULL_CONTROL 권한을 갖습니다.

tencent cloud

Cloud Object Storage

ACL

기본 개념

적용 시나리오

ACL의 요소

자격 Grantee

작업 Permission

버킷의 작업

객체의 작업

사전 설정한 ACL

버킷의 사전 설정 ACL

객체의 사전 설정 ACL

예시

버킷의 ACL

객체의 ACL

사용 방법

COS 콘솔 사용

액세스 권한 설정

개별 권한 부여

일괄 권한 부여

객체의 액세스 권한 설정

작업 순서

도움말 및 지원