별칭에 대한 액세스 제어 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

별칭에 대한 액세스 제어

별칭을 만들거나 변경하면 별칭 및 연관된 CMK에 영향을 미칩니다. 따라서 별칭을 관리하는 보안 주체는 별칭 및 영향을 받는 모든 CMK에 대해 별칭 작업을 호출할 수 있는 권한이 있어야 합니다. 이러한 권한을 사용하여 제공할 수 있습니다.키 정책,IAM 정책보조금.

참고

보안 주체에 태그와 별칭을 관리할 수 있는 권한을 부여할 때는 주의해야 합니다. 태그나 별칭을 변경하면 CMK에 대한 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 용 ABACAC 사용AWS KMS별칭을 사용하여 CMK에 대한 액세스 제어 단원을 참조하십시오.

모든 액세스 제어에 대한 자세한 내용은AWS KMS작업에 대한 자세한 내용은AWS KMS API 권한 참조.

별칭을 만들고 관리할 수 있는 권한은 다음과 같습니다.

KMS:별칭 만들기

별칭을 만들려면 보안 주체에 별칭과 연결된 CMK에 대해 다음 권한이 있어야 합니다.

  • kms:CreateAlias별칭을 선택합니다. 별칭을 만들 수 있는 보안 주체에 연결된 IAM 정책에서 이 권한을 제공합니다.

    다음 예제 정책 설명에서는 특정 별칭을Resource요소를 사용합니다. 그러나 여러 별칭 ARN을 나열하거나 “test*”와 같은 별칭 패턴을 지정할 수 있습니다. 또한 지정할 수도 있습니다.Resource"*"보안 주체가 계정 및 리전 내에서 별칭을 생성할 수 있도록 합니다. 별칭을 만들 수있는 권한은 또한에 포함 할 수 있습니다kms:Create*계정 및 지역의 모든 리소스에 대한 권한.

    { "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:CreateAliasCMK를 사용합니다. 키 정책에서 위임된 IAM 정책이나 IAM 정책에서 이 권한을 제공해야 합니다.

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:CreateAlias", "kms:DescribeKey" ], "Resource": "*" }

조건 키를 사용하여 별칭을 할당할 수 있는 CMK를 제한할 수 있습니다. 예를 들어, 를 사용할 수 있습니다.kms:CustomerMasterKeySpec조건 키를 사용하여 보안 주체가 비대칭 CMK에서만 별칭을 만들 수 있습니다. 제한하기 위해 사용할 수 있는 조건 키의 전체 목록은kms:CreateAlias권한에 대한 자세한 내용은AWS KMS 권한.

kms:ListAliases

계정 및 리전의 별칭을 나열하려면 보안 주체가kms:ListAliasesIAM 정책에서 권한을 부여합니다. 이 정책은 특정 CMK 또는 별칭 리소스와 관련이 없으므로 정책의 리소스 요소 값반드시 여야 합니다."*".

예를 들어 다음 IAM 정책 설명은 계정 및 지역의 모든 CMK 및 별칭을 나열할 수 있는 권한을 보안 주체에 부여합니다.

{ "Sid": "ListPermissions", "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }

KMS:업데이트별칭

별칭과 연결된 CMK를 변경하려면 보안 주체에 별칭, 현재 CMK에 대한 권한 요소 및 새 CMK에 대한 세 가지 사용 권한 요소가 필요합니다.

예를 들어, 변경하려고 한다고 가정해 보겠습니다.test-key별칭을 사용하여 키 ID가 포함된 CMK에서 키 ID가 동일한-34cd-56ef-1234567890ab-34ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab-ab- 이 경우 이 단원의 예제와 비슷한 정책 설명을 포함합니다.

  • kms:UpdateAlias별칭을 선택합니다. 보안 주체에 연결된 IAM 정책에서 이 권한을 제공합니다. 다음 IAM 정책은 특정 별칭을 지정합니다. 그러나 여러 별칭 ARN을 나열하거나 별칭 패턴을 지정할 수 있습니다 (예:"test*". 또한 지정할 수도 있습니다.Resource"*"보안 주체가 계정 및 리전의 별칭을 업데이트하도록 허용합니다.

    { "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:UpdateAlias", "kms:ListAliases", "kms:ListKeys" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:UpdateAlias현재 별칭과 연결된 CMK에 대해 설명합니다. 키 정책에서 위임된 IAM 정책이나 IAM 정책에서 이 권한을 제공해야 합니다.

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:UpdateAlias", "kms:DescribeKey" ], "Resource": "*" }
  • kms:UpdateAlias작업이 별칭과 연관시키는 CMK에 대해 설명합니다. 키 정책에서 위임된 IAM 정책이나 IAM 정책에서 이 권한을 제공해야 합니다.

    { "Sid": "Key policy for 0987dcba-09fe-87dc-65ba-ab0987654321", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"}, "Action": [ "kms:UpdateAlias", "kms:DescribeKey" ], "Resource": "*" }

조건 키를 사용하여 두 CMK 중 하나 또는 둘 다를 제한할 수 있습니다.UpdateAlias작업을 사용합니다. 예를 들어, 를 사용할 수 있습니다.KMS:리소스 별칭조건 키를 사용하여 대상 CMK에 이미 특정 별칭이 있는 경우에만 보안 주체가 별칭을 업데이트할 수 있습니다. 제한하기 위해 사용할 수 있는 조건 키의 전체 목록은kms:UpdateAlias권한에 대한 자세한 내용은AWS KMS 권한.

KMS:별칭 삭제

별칭을 삭제하려면 보안 주체에 별칭 및 연결된 CMK에 대한 권한이 있어야 합니다.

보안 주체에 리소스를 삭제할 수 있는 권한을 부여할 때는 항상 주의해야 합니다. 그러나 별칭을 삭제해도 연결된 CMK에 영향을 미치지 않습니다. 별칭을 사용하는 응용 프로그램에서 오류가 발생할 수 있지만 실수로 별칭을 삭제하면 다시 만들 수 있습니다.

  • kms:DeleteAlias별칭을 선택합니다. 별칭을 삭제할 수 있는 보안 주체에 연결된 IAM 정책에서 이 권한을 제공합니다.

    다음 예제 IAM 정책 문은 별칭을Resource요소를 사용합니다. 그러나 여러 별칭 ARN을 나열하거나 별칭 패턴을 지정할 수 있습니다 (예:"test*"을 지정할 수도 있습니다.Resource"*"보안 주체가 계정 및 리전의 별칭을 삭제할 수 있도록 허용합니다.

    { "Sid": "IAMPolicyForAnAlias", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/test-key" }
  • kms:DeleteAlias관련 CMK에 대한. 키 정책에서 위임된 IAM 정책이나 IAM 정책에서 이 권한을 제공해야 합니다.

    { "Sid": "Key policy for 1234abcd-12ab-34cd-56ef-1234567890ab", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/KMSAdminUser" }, "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias", "kms:DescribeKey" ], "Resource": "*" }

별칭 사용 권한 제한

리소스가 CMK인 경우 조건 키를 사용하여 별칭 권한을 제한할 수 있습니다. 예를 들어 다음 IAM 정책은 계정 및 리전의 CMK에 대한 별칭 작업을 허용합니다. 그러나, 그것은 사용kms:CustomerMasterKeyUsage조건 키를 사용하여 암호화 및 암호 해독에 사용되는 CMK로 권한을 제한할 수 있습니다.

CMK 리소스에 대한 별칭 권한을 제한하는 데 사용할 수 있는 조건 키의 전체 목록은AWS KMS 권한.

{ "Sid": "IAMPolicyCMKPermissions", "Effect": "Allow", "Resource": "arn:aws:kms:us-west-2:111122223333:key/*", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Condition": { "StringEquals": { "kms:CustomerMasterKeyUsage": "ENCRYPT_DECRYPT" } } }

리소스가 별칭인 정책 설명에는 조건 키를 사용할 수 없습니다. 보안 주체가 관리할 수 있는 별칭을 제한하려면Resource별칭에 대한 액세스를 제어하는 IAM 정책 문의 요소입니다. 예를 들어, 다음 정책 설명을 사용하면 보안 주체가 AWS 계정 및 지역 별칭으로 시작하지 않는 한Restricted.

{ "Sid": "IAMPolicyForAnAliasAllow", "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/*" }, { "Sid": "IAMPolicyForAnAliasDeny", "Effect": "Deny", "Action": [ "kms:CreateAlias", "kms:UpdateAlias", "kms:DeleteAlias" ], "Resource": "arn:aws:kms:us-west-2:111122223333:alias/Restricted*" }