Introducing account regional namespaces for Amazon S3 general purpose buckets

Context

Amazon S3의 기존 General Purpose 버킷은 전역 네임스페이스를 사용하므로, 원하는 버킷명이 다른 AWS 계정에서 이미 생성되었다면 버킷 생성이 불가능했다. 조직 규모가 커지고 데이터 저장소 관리 범위가 확대되면서 버킷 명명과 관리의 복잡성이 증가했다.

Technical Solution

• Account Regional Namespace 도입: 버킷명에 계정 ID(-123456789012), 리전(us-east-1), 접미사(-an)를 자동 추가하여 mybucket-123456789012-us-east-1-an 형태로 생성
• 버킷명 범위 제한: 접두사와 계정 리전 접미사의 총 길이를 3~63자로 규제
• IAM 정책 및 SCP 제어: s3:x-amz-bucket-namespace 조건 키를 활용하여 조직 전체에서 Account Regional Namespace 사용 강제
• CLI 및 SDK 지원: AWS CLI에서 --bucket-namespace account-regional 플래그, Boto3에서 BucketNamespace 파라미터로 생성
• CloudFormation 통합: AWS::AccountId, AWS::Region 의사 파라미터와 BucketNamePrefix 속성으로 자동 생성

Impact

추가 비용 없음. 37개 AWS 리전(China, GovCloud 포함)에서 즉시 이용 가능.

Key Takeaway

멀티테넌트 환경에서 전역 리소스 이름 충돌을 피하려면 생성 시점에 계정 ID와 리전을 자동 포함하는 구조로 설계하되, 기존 General Purpose 버킷은 마이그레이션할 수 없으므로 신규 버킷부터 적용해야 한다.