고급 사용자를 위한 AWS 관리형 정책 - AWS Key Management Service

고급 사용자를 위한 AWS 관리형 정책

AWSKeyManagementServicePowerUser 관리형 정책을 사용하여 계정의 IAM 보안 주체에게 고급 사용자 권한을 부여할 수 있습니다. 고급 사용자는 KMS 키를 생성하고, 자신이 생성한 KMS 키를 사용 및 관리하고, 모든 KMS 키와 IAM 자격 증명을 볼 수 있습니다. AWSKeyManagementServicePowerUser 관리형 정책이 있는 보안 주체는 키 정책, 기타 IAM 정책 및 권한 부여를 비롯한 다른 소스에서 권한을 얻을 수도 있습니다.

AWSKeyManagementServicePowerUser는 AWS 관리형 IAM 정책입니다. AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서에서 AWS 관리형 정책을 참조하세요.

참고

이 정책의 KMS 키와 관련된 권한(예: kms:TagResourcekms:GetKeyRotationStatus)은 해당 KMS 키에 대한 키 정책에서, AWS 계정이 IAM 정책을 사용하여 키에 대한 액세스를 제어하도록 명시적으로 허용하는 경우에만 유효합니다. 권한이 KMS 키와 관련된 것인지 확인하려면 AWS KMS 권한 섹션의 리소스(Resources) 열에 KMS 키(KMS key)라는 값이 있는지 확인합니다.

이 정책은 고급 사용자에게 작업을 허용하는 키 정책이 있는 모든 KMS 키에 대한 권한을 부여합니다. 계정 간 권한(예: kms:DescribeKeykms:ListGrants)의 경우 여기에는 신뢰할 수 없는 AWS 계정의 KMS 키가 포함될 수 있습니다. 자세한 내용은 IAM 정책 모범 사례다른 계정의 사용자가 CMK를 사용하도록 허용 단원을 참조하세요. 다른 계정의 KMS 키에 대한 권한이 유효한지 확인하려면 AWS KMS 권한 섹션에서 계정 간 사용(Cross-account use) 열에 예(Yes)라는 값이 있는지 확인합니다.

보안 주체가 오류 없이 AWS KMS 콘솔을 보도록 허용하려면, 보안 주체에게 tag:GetResources 권한을 부여해야 합니다. 이 권한은 AWSKeyManagementServicePowerUser 정책에 포함되어 있지 않습니다. 별도의 IAM 정책에서 이 권한을 허용할 수 있습니다.

AWSKeyManagementServicePowerUser 관리형 IAM 정책에는 다음 권한이 포함됩니다.

  • 보안 주체가 KMS 키를 생성하도록 허용합니다. 이 프로세스에는 키 정책 설정이 포함되므로 고급 사용자는 자신이 생성한 KMS 키를 사용하고 관리할 수 있는 권한을 자신과 다른 사용자에게 부여할 수 있습니다.

  • 보안 주체가 모든 KMS 키에서 별칭태그를 만들고 삭제할 수 있습니다. 태그나 별칭을 변경하면 KMS 키를 사용하고 관리할 수 있는 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC 단원을 참조하세요.

  • 보안 주체가 키 ARN, 암호화 구성, 키 정책, 별칭, 태그 및 교체 상태를 포함하여 모든 KMS 키에 대한 자세한 정보를 얻을 수 있습니다.

  • 보안 주체가 IAM 사용자, 그룹 및 역할을 나열하도록 허용합니다.

  • 이 정책은 보안 주체가 자신이 생성하지 않은 KMS 키를 사용하거나 관리하도록 허용하지 않습니다. 하지만 모든 KMS 키의 별칭 및 태그를 변경할 수 있으므로, KMS 키를 사용하거나 관리할 권한이 허용 또는 거부될 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }