AWS KMS에 대한 인증 및 액세스 제어 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS에 대한 인증 및 액세스 제어

AWS KMS에 액세스하려면 AWS가 요청을 인증하는 데 사용할 수 있는 자격 증명이 필요합니다. 자격 증명에는 액세스 권한이 있어야 합니다.AWS리소스 (예:AWS KMS고객 마스터 키 (CMK) 를 관리합니다. 다음 단원에는 사용 방법에 대한 세부 정보가 있습니다.AWS Identity and Access Management(IAM) 및AWS KMS리소스에 액세스할 수 있는 대상을 제어하여 리소스를 보호할 수 있도록 합니다.

Authentication

다음과 같은 ID 유형으로 AWS에 액세스할 수 있습니다.

  • AWS 계정 루트 사용자— 가입할 때AWS(에 이메일 주소 및 암호) 를 제공하는 경우 AWS 계정 . 이 두 가지가 루트 자격 증명으로, 모든 AWS 리소스에 대한 전체 액세스를 제공합니다.

    중요

    보안상 루트 자격 증명만 사용하여관리자 사용자(즉)IAM 사용자에 대한 전체 권한으로 AWS 계정 . 그런 다음 이 관리자를 사용하여 제한된 권한이 있는 다른 IAM 사용자 및 역할을 생성할 수 있습니다. https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-usershttps://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html자세한 정보는 IAM 사용 설명서의 개별 IAM 사용자 만들기(IAM 모범 사례) 및 관리자 및 그룹 만들기를 참조하십시오.

  • IAM 사용자IAM 사용자내 신원입니다 AWS 계정 특정 권한이 있는 (예: CMK 사용 권한). IAM 사용자 이름과 암호를 사용하여 로그인할 수 있습니다.AWS웹페이지 (예:AWS Management Console,AWS토론 포럼, 또는AWS SupportCenter.

    사용자 이름과 암호 외에도 만들 수 있습니다.액세스 키를 사용하여 사용자가 액세스할 수 있도록 합니다.AWS서비스를 프로그래밍 방식으로중 하나를 수행합니다.AWSSDK또는명령줄 도구. SDK와 명령줄 도구는 액세스 키를 사용하여 암호화 방식으로 API 요청에 서명합니다. 사용하지 않는 경우AWS도구를 사용하는 경우 API 요청에 직접 서명해야 합니다.AWS KMS은 를 지원합니다.서명 버전 4,AWS프로토콜을 사용하여 API 요청을 인증합니다. API 요청 인증에 대한 자세한 내용은 단원을 참조하십시오.서명 버전 4 프로세스AWS일반 참조.

  • IAM 역할IAM 역할은 특정 권한이 있는 계정에서 생성할 수 있는 또 다른 IAM 자격 증명입니다. IAM 사용자와 유사하지만, 특정 개인과 연결되지 않습니다. IAM 역할을 사용하면 임시 액세스 키를 얻을 수 있습니다.AWS서비스 및 리소스를 프로그래밍 방식으로 사용할 수 있습니다. IAM 역할은 다음과 같은 상황에서 유용합니다.

    • 연합된 사용자 액세스— IAM 사용자를 생성하는 대신, IAM 사용자를 생성하는 대신AWS Directory Service, 엔터프라이즈 사용자 디렉터리 또는 웹 자격 증명 공급자의 역할을 수행합니다. 이러한 사용자를 연동 사용자라고 합니다. 연동 사용자는자격 증명 공급자. 연합된 사용자에 대한 자세한 정보는 IAM 사용 설명서연합된 사용자 및 역할을 참조하십시오.

    • 교차 계정 액세스— IAM 역할을 사용할 수 있습니다. AWS 계정 다른 허용 AWS 계정 권한을 사용하여 계정의 리소스에 액세스할 수 있습니다. 예제는 단원을 참조하십시오.자습서: 액세스 위임AWSIAM 역할을 사용하는 계정IAM 사용 설명서.

    • AWS서비스 액세스— 계정의 IAM 역할을 사용하여AWS서비스 권한을 사용하여 계정의 리소스에 액세스할 수 있습니다. 예를 들어, Amazon Redshift 에서 사용자 대신 S3 버킷에 액세스하도록 허용하는 역할을 만든 다음 S3 버킷에 저장된 데이터를 Amazon Redshift 클러스터로 로드할 수 있습니다. 자세한 내용은 단원을 참조하십시오.역할을 만들어 권한을 위임할AWS서비스IAM 사용 설명서.

    • EC2 인스턴스에서 실행되는 애플리케이션— 인스턴스에서 실행되는 애플리케이션에서 사용할 수 있도록 EC2 인스턴스에 액세스 키를 저장하는 대신에,AWSAPI 요청을 사용하는 경우 IAM 역할을 사용하여 이러한 애플리케이션에 대한 임시 액세스 키를 제공할 수 있습니다. EC2 인스턴스에 IAM 역할을 할당하려면인스턴스 프로파일인스턴스를 시작할 때 연결할 수 있습니다. 인스턴스 프로파일에는 역할이 포함되어 있으며 EC2 인스턴스에서 실행되는 애플리케이션이 임시 액세스 키를 얻을 수 있습니다. https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html자세한 정보는 IAM 사용 설명서의 Amazon EC2에서 실행되는 애플리케이션의 역할 사용하기를 참조하십시오.

액세스 제어

요청을 인증하는 데 유효한 자격 증명이 있더라도 권한이 있어야 요청을 인증할 수 있습니다.AWS KMS생성, 관리 또는 사용하기 위한 API 요청AWS KMS있습니다. 예를 들어 CMK를 생성하고, CMK를 관리하고, CMK를 위한 CMK를 사용할 권한을 가지고 있어야 합니다.암호화 작업.

다음 페이지에서는 AWS KMS에 대한 권한을 관리하는 방법에 대해 설명합니다. 먼저 개요를 읽어 보면 도움이 됩니다.

액세스 할 경우AWS KMSAmazon Virtual Private Cloud (Amazon VPC) 엔드포인트를 통해 VPC 엔드포인트 정책을 사용하여AWS KMS리소스를 사용할 때 사용할 수 있습니다. 예를 들어 VPC 엔드포인트를 사용하는 경우 AWS 계정 를 클릭하여 CMK에 액세스할 수 있습니다. 자세한 내용은 단원을 참조하십시오.VPC 엔드포인트에 대한 액세스 제어.