AWS고급 사용자를 위한 관리형 정책 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS고급 사용자를 위한 관리형 정책

다음을 수행할 수 있습니다.AWS관리형 정책를 사용하여 계정의 IAM 보안 주체에 고급 사용자의 권한을 부여할 수 있습니다. 고급 사용자는 CMK를 생성하고, 자신이 생성한 CMK를 사용 및 관리하고, 모든 CMK 및 IAM 자격 증명을 볼 수 있습니다.

참고

이 정책은 고급 사용자에게kms:DescribeKey작업을 허용하는 키 정책을 사용하여 모든 CMK에 대한 권한을 부여합니다. 여기에는 신뢰할 수 없는 AWS 계정 . 자세한 내용은 단원을 참조하십시오IAM 정책 모범 사례

이 정책은 고급 사용자에게 리소스에 태그를 지정하고 태그를 해제하고 별칭을 만들고 삭제할 수 있는 권한을 부여합니다. 태그 또는 별칭을 변경하면 CMK를 사용하고 관리할 수 있는 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 단원을 참조하십시오용 ABACAC 사용AWS KMS

AWS 키 관리서비스고급 사용자관리형 정책에는 다음 권한이 포함되어 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
  • 사용자가 CMK를 생성하도록 허용합니다. 이 프로세스에는 주요 정책 설정이 포함되므로 고급 사용자는 자신이 만든 CMK를 사용하고 관리할 수 있는 권한을 자신과 다른 사용자에게 부여할 수 있습니다.

  • 사용자가 생성하고 삭제할 수 있도록 허용별칭tags를 모든 CMK에 적용하십시오.

  • 사용자가 키 ARN, 암호화 구성, 키 정책, 별칭, 태그 및순환 상태.

  • 사용자가 IAM 사용자, 그룹 및 역할을 나열할 수 있도록 허용합니다.

  • 이 정책은 모든 CMK의 별칭 및 태그를 관리할 수 있지만 사용자가 만들지 않은 CMK를 사용하거나 관리할 수 있는 권한을 부여하지 않습니다.

이 있는 사용자AWSKeyManagementServicePowerUser관리형 정책은 키 정책, 기타 IAM 정책 및 권한 부여를 비롯한 다른 소스로부터 권한을 얻을 수도 있습니다.