AWS Config 전송 채널의 KMS 키 권한

S3 버킷 전송을 위해 전송한 객체에 KMS 기반 암호화를 사용할 수 있도록 하는 S3 버킷 AWS KMS 키 정책을 생성하려면 이 항목의 정보를 사용하십시오. AWS Config

목차

• IAM 역할을 사용할 때 KMS 키에 필요한 권한(S3 버킷 전송)
• 서비스 연결 역할을 사용할 때 AWS KMS 키에 필요한 권한 (S3 버킷 전송)
• 키에 AWS ConfigAWS KMS 대한 액세스 권한 부여

IAM 역할을 사용할 때 KMS 키에 필요한 권한(S3 버킷 전송)

IAM 역할을 AWS Config 사용하여 설정하는 경우 KMS 키에 팔로우 권한 정책을 연결할 수 있습니다.

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}

참고

IAM 역할, Amazon S3 버킷 정책 또는 AWS KMS 키가 적절한 액세스를 제공하지 않는 경우 Amazon S3 버킷으로 구성 정보를 전송하려는 시도는 실패합니다. AWS Config AWS Config이 경우 이번에는 AWS Config 서비스 보안 주체로 정보를 다시 AWS Config 전송합니다. 이 경우 Amazon S3 버킷에 정보를 전송할 때 AWS KMS 키를 사용할 수 있는 AWS Config 액세스 권한을 부여하려면 아래에 설명된 권한 정책을 키에 연결해야 합니다.

서비스 연결 역할을 사용할 때 AWS KMS 키에 필요한 권한 (S3 버킷 전송)

AWS Config 서비스 연결 역할에는 키에 액세스할 권한이 없습니다. AWS KMS 따라서 서비스 연결 역할을 AWS Config 사용하여 설정하는 경우 이 대신 서비스 주체 AWS Config 자격으로 정보를 전송합니다 AWS Config . Amazon S3 버킷에 정보를 전달할 때 AWS KMS AWS KMS 키를 사용할 수 있는 AWS Config 액세스 권한을 부여하려면 아래에 언급된 액세스 정책을 키에 연결해야 합니다.

키에 AWS ConfigAWS KMS 대한 액세스 권한 부여

이 정책은 Amazon S3 버킷에 정보를 전송할 때 AWS KMS 키를 사용하도록 허용합니다 AWS Config .

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

키 정책에서 다음 값을 바꿉니다.

• MyKMSkeyarn — 구성 항목을 전송할 Amazon AWS Config S3 버킷의 AWS KMS 데이터를 암호화하는 데 사용되는 키의 ARN입니다.

• sourceAccountID - AWS Config 가 구성 항목을 전송할 계정의 ID입니다.

위 AWS KMS 키 정책의 AWS:SourceAccount 조건을 사용하여 Config 서비스 보안 주체가 특정 계정을 대신하여 작업을 수행할 때만 AWS KMS 키와 상호 작용하도록 제한할 수 있습니다.

AWS Config 또한 AWS Config 특정 전송 채널을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 Amazon S3 버킷과만 상호 작용하도록 제한하는 AWS:SourceArn 조건을 지원합니다. AWS Config 서비스 보안 주체를 사용하는 경우 AWS:SourceArn 속성은 항상 전송 채널의 지역이 arn:aws:config:sourceRegion:sourceAccountID:* sourceRegion 어디인지, sourceAccountID 이 속성은 전송 채널을 포함하는 계정의 ID로 설정됩니다. AWS Config 전송 채널에 대한 자세한 내용은 전송 채널 관리를 참조하십시오. 예를 들어, 다음 조건을 추가하여 Config 서비스 보안 주체가 123456789012 계정의 us-east-1 리전 전송 채널을 대신해서만 Amazon S3 버킷과 상호 작용하도록 제한할 수 있습니다. "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.