기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
S3 버킷 전송을 위해에서 제공하는 객체에 KMS기반 암호화를 사용할 수 있도록 S3 버킷 AWS Config 의 AWS KMS 키에 대한 정책을 생성하려면이 주제의 정보를 사용합니다.
목차
IAM 역할 사용 시 KMS 키에 필요한 권한(S3 버킷 전송)
IAM 역할을 AWS Config 사용하여를 설정한 경우 KMS 키에 다음 권한 정책을 연결할 수 있습니다.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "
account-id1
", "account-id2
", "account-id3
" ] } } ] }
참고
IAM 역할, Amazon S3 버킷 정책 또는 AWS KMS 키가에 대한 적절한 액세스를 제공하지 않으면 AWS Config AWS Config가 Amazon S3 버킷으로 구성 정보를 보내려고 시도하지 못합니다. 이 경우는 이번에는 AWS Config 서비스 보안 주체로 정보를 다시 AWS Config 전송합니다. 이 경우 아래에 언급된 권한 정책을 AWS KMS 키에 연결하여 Amazon S3 버킷에 정보를 전송할 때 키를 사용할 수 있는 AWS Config 액세스 권한을 부여해야 합니다.
서비스 연결 역할을 사용할 때 AWS KMS 키에 필요한 권한(S3 버킷 전송)
AWS Config 서비스 연결 역할에는 AWS KMS 키에 액세스할 수 있는 권한이 없습니다. 따라서 서비스 연결 역할을 AWS Config 사용하여를 설정하면 AWS Config 가 대신 서비스 보안 주체로 AWS Config 정보를 전송합니다. Amazon S3 버킷에 정보를 전송할 때 AWS KMS 키를 사용할 수 있는 액세스 권한을 부여하려면 아래에 언급된 AWS Config 액세스 정책을 AWS KMS 키에 연결해야 합니다.
AWS KMS 키에 대한 AWS Config 액세스 권한 부여
이 정책은가 Amazon S3 버킷 AWS Config 에 정보를 전송할 때 AWS KMS 키를 사용하도록 허용합니다.
{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "
myKMSKeyARN
", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID
" } } } ] }
키 정책에서 다음 값을 바꿉니다.
-
myKMSKeyARN
- 구성 항목을 전달할 Amazon S3 버킷의 데이터를 암호화하는 데 사용되는 AWS KMS 키ARN의 AWS Config 입니다. -
sourceAccountID
-가 구성 항목을 전달할 계정의 ID AWS Config 입니다.
위의 AWS KMS 키 정책의 AWS:SourceAccount
조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 AWS KMS 키와만 상호 작용하도록 제한할 수 있습니다.
AWS Config 는 또한 특정 AWS Config 전송 채널을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 Amazon S3 버킷과만 상호 작용하도록 제한하는 AWS:SourceArn
조건을 지원합니다. AWS Config 서비스 보안 주체를 사용할 때 AWS:SourceArn
속성은 항상 로 설정됩니다. arn:aws:config:sourceRegion:sourceAccountID:*
여기서 sourceRegion
는 전송 채널의 리전이고 sourceAccountID
는 전송 채널이 포함된 계정의 ID입니다. AWS Config 전송 채널에 대한 자세한 내용은 전송 채널 관리를 참조하세요. 예를 들어, 다음 조건을 추가하여 Config 서비스 보안 주체가 123456789012
계정의 us-east-1
리전 전송 채널을 대신해서만 Amazon S3 버킷과 상호 작용하도록 제한할 수 있습니다. "ArnLike": {"AWS:SourceArn":
"arn:aws:config:us-east-1:123456789012:*"}
.