KMS 키 액세스 및 권한 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

KMS 키 액세스 및 권한

를 사용하려면 요청을 인증하는 데 사용할 AWS 수 있는 보안 인증 정보가 AWS KMS있어야 합니다. 자격 증명에는 AWS 리소스 AWS KMS keys 및 별칭에 액세스할 수 있는 권한이 포함되어야 합니다. 해당 권한이 명시적으로 제공되고 거부되지 않는 한 AWS 보안 주체는 KMS 키에 대한 권한이 없습니다. KMS 키를 사용하거나 관리할 수 있는 묵시적 또는 자동 권한은 없습니다.

KMS 키에 대한 액세스를 제어하기 위해 다음 정책 메커니즘을 사용할 수 있습니다.

  • 키 정책 - 모든 KMS 키에는 키 정책이 있습니다. KMS 키에 대한 액세스를 제어하는 기본 메커니즘입니다. 키 정책만 사용하여 액세스를 제어할 수 있습니다. 즉, KMS 키에 대한 전체 액세스 범위가 단일 문서(키 정책)에 정의되어 있습니다. 키 정책 사용에 대한 자세한 내용은 키 정책 섹션을 참조하세요.

  • IAM 정책 - 정책을 키 IAM 정책 및 권한 부여와 함께 사용하여 KMS 키에 대한 액세스를 제어할 수 있습니다. 이러한 방식으로 액세스를 제어하면 IAM 에서 자격 증명에 대한 모든 권한을 관리할 수 있습니다IAM. IAM 정책을 사용하여 KMS 키에 대한 액세스를 허용하려면 키 정책에서 명시적으로 허용해야 합니다. IAM 정책 사용에 대한 자세한 내용은 섹션을 참조하세요IAM 정책.

  • 권한 부여 - 권한 부여를 키 정책 및 IAM 정책과 함께 사용하여 KMS 키에 대한 액세스를 허용할 수 있습니다. 이러한 방식으로 액세스를 제어하면 KMS 키 정책의 키에 대한 액세스를 허용하고 자격 증명이 다른 사용자에게 액세스를 위임할 수 있습니다. 권한 부여 사용에 대한 자세한 내용은 의 권한 부여 AWS KMS를 참조하세요.

KMS 키 정책

AWS KMS 리소스에 대한 액세스를 관리하는 주요 방법은 정책 입니다. 정책은 어떤 보안 주체가 어떤 리소스에 액세스 할 수 있는지를 설명하는 문서입니다. IAM 자격 증명에 연결된 정책은 자격 증명 기반 정책(또는 IAM 정책)이라고 하며, 다른 종류의 리소스에 연결된 정책은 리소스 정책이라고 합니다. KMS 키에 대한 AWS KMS 리소스 정책은 키 정책이라고 합니다.

모든 KMS 키에는 키 정책이 있습니다. 제공하지 않으면 가 사용자를 대신하여 하나를 AWS KMS 생성합니다. 를 AWS KMS 사용하는 기본 키 정책은 AWS KMS 콘솔에서 키를 생성할지 아니면 를 사용할지에 따라 다릅니다 AWS KMS API. 조직의 최소 권한 요구 사항에 맞게 기본 키 정책을 편집하는 것이 좋습니다.

키와 IAM 보안 주체가 동일한 AWS 계정에 있는 경우 키 정책만 사용하여 액세스를 제어할 수 있습니다. 즉, KMS 키에 대한 전체 액세스 범위가 단일 문서(키 정책)에 정의되어 있습니다. 그러나 한 계정의 호출자가 다른 계정의 키에 액세스해야 하는 경우 키 정책만 사용하여 액세스 권한을 부여할 수 없습니다. 교차 계정 시나리오에서는 호출자가 직접 API 호출할 수 있도록 명시적으로 허용하는 IAM 정책을 호출자의 사용자 또는 역할에 연결해야 합니다.

또한 키 IAM 정책 및 권한 부여와 함께 정책을 사용하여 KMS 키에 대한 액세스를 제어할 수 있습니다. IAM 정책을 사용하여 KMS 키에 대한 액세스를 제어하려면 키 정책이 계정에 IAM 정책을 사용할 수 있는 권한을 부여해야 합니다. IAM 정책을 활성화하는 키 정책 문을 지정하거나 키 정책에서 허용되는 보안 주체를 명시적으로 지정할 수 있습니다.

정책을 작성할 때는 다음 작업을 수행할 수 있는 사용자를 제한하는 강력한 제어 기능이 있어야 합니다.

  • IAM 및 KMS 키 정책 업데이트, 생성 및 삭제

  • 사용자, 역할 및 그룹에서 IAM 정책 연결 및 분리

  • KMS 키에서 KMS 키 정책 연결 및 분리

KMS 키 부여

IAM 및 키 정책 외에도 는 권한 부여를 AWS KMS 지원합니다. 권한 부여는 권한을 위임하는 유연하고 강력한 방법을 제공합니다. 권한 부여를 사용하여 AWS 계정 또는 다른 AWS 계정의 IAM 보안 주체에 대한 시간 제한 KMS 키 액세스 권한을 부여할 수 있습니다. 정책이 생성되는 시점에 위탁자의 이름을 모르거나 액세스가 필요한 위탁자가 자주 변경되는 경우 시간 제한이 있는 액세스를 발급하는 것이 좋습니다. 권한 부여자 보안 주체는 KMS 키와 동일한 계정 또는 다른 계정에 있을 수 있습니다. 보안 주체와 KMS 키가 다른 계정에 있는 경우 권한 부여 외에 IAM 정책을 지정해야 합니다. 권한 부여를 생성하려면 API를 호출하고 더 이상 필요하지 않을 때 권한 부여를 사용 중지하거나 취소해야 하기 때문에 권한 부여에는 추가 관리가 필요합니다.

다음 주제에서는 AWS Identity and Access Management (IAM) 및 AWS KMS 권한을 사용하여 리소스에 액세스할 수 있는 사용자를 제어하여 리소스를 보호하는 방법에 대한 세부 정보를 제공합니다.