쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

AWS Config 전송 채널의 KMS 키에 대한 권한

포커스 모드

이 페이지에서

AWS Config 전송 채널의 KMS 키에 대한 권한 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

S3 버킷 전송을 위해에서 제공하는 객체에 KMS기반 암호화를 사용할 수 있도록 S3 버킷 AWS Config 의 AWS KMS 키에 대한 정책을 생성하려면이 주제의 정보를 사용합니다.

IAM 역할 사용 시 KMS 키에 필요한 권한(S3 버킷 전송)

IAM 역할을 AWS Config 사용하여를 설정한 경우 KMS 키에 다음 권한 정책을 연결할 수 있습니다.

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }
참고

IAM 역할, Amazon S3 버킷 정책 또는 AWS KMS 키가에 대한 적절한 액세스를 제공하지 않으면 AWS Config AWS Config가 Amazon S3 버킷으로 구성 정보를 보내려고 시도하지 못합니다. 이 경우는 이번에는 AWS Config 서비스 보안 주체로 정보를 다시 AWS Config 전송합니다. 이 경우 아래에 언급된 권한 정책을 AWS KMS 키에 연결하여 Amazon S3 버킷에 정보를 전송할 때 키를 사용할 수 있는 AWS Config 액세스 권한을 부여해야 합니다.

서비스 연결 역할을 사용할 때 AWS KMS 키에 필요한 권한(S3 버킷 전송)

AWS Config 서비스 연결 역할에는 AWS KMS 키에 액세스할 수 있는 권한이 없습니다. 따라서 서비스 연결 역할을 AWS Config 사용하여를 설정하면 AWS Config 가 대신 서비스 보안 주체로 AWS Config 정보를 전송합니다. Amazon S3 버킷에 정보를 전송할 때 AWS KMS 키를 사용할 수 있는 액세스 권한을 부여하려면 아래에 언급된 AWS Config 액세스 정책을 AWS KMS 키에 연결해야 합니다.

AWS KMS 키에 대한 AWS Config 액세스 권한 부여

이 정책은가 Amazon S3 버킷 AWS Config 에 정보를 전송할 때 AWS KMS 키를 사용하도록 허용합니다.

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }

키 정책에서 다음 값을 바꿉니다.

  • myKMSKeyARN - 구성 항목을 전달할 Amazon S3 버킷의 데이터를 암호화하는 데 사용되는 AWS KMS 키ARN의 AWS Config 입니다.

  • sourceAccountID -가 구성 항목을 전달할 계정의 ID AWS Config 입니다.

위의 AWS KMS 키 정책의 AWS:SourceAccount 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 AWS KMS 키와만 상호 작용하도록 제한할 수 있습니다.

AWS Config 는 또한 특정 AWS Config 전송 채널을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 Amazon S3 버킷과만 상호 작용하도록 제한하는 AWS:SourceArn 조건을 지원합니다. AWS Config 서비스 보안 주체를 사용할 때 AWS:SourceArn 속성은 항상 로 설정됩니다. arn:aws:config:sourceRegion:sourceAccountID:* 여기서 sourceRegion는 전송 채널의 리전이고 sourceAccountID는 전송 채널이 포함된 계정의 ID입니다. AWS Config 전송 채널에 대한 자세한 내용은 전송 채널 관리를 참조하세요. 예를 들어, 다음 조건을 추가하여 Config 서비스 보안 주체가 123456789012 계정의 us-east-1 리전 전송 채널을 대신해서만 Amazon S3 버킷과 상호 작용하도록 제한할 수 있습니다. "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.