키 삭제에 대한 액세스 제어 - AWS Key Management Service
AWS Management Console 사용AWS CLI 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 삭제에 대한 액세스 제어

IAM 정책을 사용해 AWS KMS 권한을 허용하는 경우, AWS 관리자 액세스("Action": "*") 또는 AWS KMS 전체 액세스("Action": "kms:*")가 있는 IAM ID는 이미 KMS 키에 대한 키 삭제를 예약하고 취소하도록 허용되어 있습니다. 키 관리자가 키 정책에서 키 삭제를 예약하고 취소하도록 허용하려면 AWS KMS 콘솔 또는 AWS KMS API를 사용합니다.

일반적으로 키 관리자만 키 삭제를 예약하거나 취소할 수 있는 권한이 있습니다. 그러나 키 정책 또는 IAM 정책에 kms:ScheduleKeyDeletionkms:CancelKeyDeletion 권한을 추가하여 다른 IAM ID에 이러한 권한을 부여할 수 있습니다. 또한 kms:ScheduleKeyDeletionPendingWindowInDays조건 키를 사용하여 보안 주체가 요청 파라미터에 지정할 수 있는 값을 추가로 제한할 수 있습니다. PendingWindowInDays ScheduleKeyDeletion

키 관리자의 키 삭제 예약 및 취소 허용(콘솔)

키 관리자에게 키 삭제를 예약하고 취소할 수 있는 권한을 부여하려면 다음을 수행하세요.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 권한을 변경하고 싶은 KMS 키의 별칭 또는 키 ID를 선택합니다.

  5. key policy(키 정책) 탭을 선택합니다.

  6. 다음 단계는 키 정책의 기본 보기와 정책 보기에 따라 다릅니다. 기본 콘솔 키 정책을 사용하는 경우에만 기본 보기를 사용할 수 있습니다. 이외의 경우에는 정책 보기만 사용할 수 있습니다.

    기본 보기를 사용할 수 있는 경우 Switch to policy view(정책 보기로 전환) 또는 Switch to default view(기본 보기로 전환) 버튼이 Key policy(키 정책) 탭에 나타납니다.

    • 기본 보기에서

      1. Key deletion(키 삭제) 아래에서 Allow key administrators to delete this key(키 관리자가 이 키를 삭제하도록 허용합니다.)를 선택합니다.

    • 정책 보기에서

      1. 편집을 선택합니다.

      2. 키 관리자에 대한 정책 설명에서 kms:ScheduleKeyDeletionkms:CancelKeyDeletion 권한을 Action 요소에 추가합니다.

        {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

      3. 변경 사항 저장을 선택합니다.

키 관리자에게 키 삭제 예약 및 취소 권한 허용(AWS CLI)

AWS Command Line Interface을 이용해 키 삭제를 예약하고 취소할 권한을 추가할 수 있습니다.

키 삭제를 예약하고 취소할 권한을 추가하려면

  1. aws kms get-key-policy 명령을 이용해 기존 키 정책을 검색한 후 정책 문서를 파일에 저장합니다.

  2. 원하는 텍스트 편집기에서 정책 문서를 엽니다. 키 관리자에 대한 정책 설명에서 kms:ScheduleKeyDeletionkms:CancelKeyDeletion 권한을 추가합니다. 다음 예는 이 두 권한이 포함된 정책 설명을 보여줍니다.

    {
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion"
  ],
  "Resource": "*"
}

  3. aws kms put-key-policy 명령을 사용하여 KMS 키에 키 정책을 적용합니다.