보조금 관리 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보조금 관리

필요한 권한이 있는 보안 주체는 권한 부여를 보고, 사용하고, 삭제 (사용 중지 또는 취소) 할 수 있습니다. 권한 부여 생성 및 관리를 위한 사용 권한을 구체화하려면AWS KMS는 키 정책과 IAM 정책에 사용할 수 있는 몇 가지 정책 조건을 지원합니다.

권한 부여에 대한 액세스 제어

주요 정책, IAM 정책 및 부여에서 권한 부여를 생성하고 관리하는 작업에 대한 액세스를 제어할 수 있습니다. 받는 보안 주체CreateGrant권한에 부여된더 제한된 권한 부여.

API 연산 키 정책 또는 IAM 정책 권한 부여
CreateGrant
ListGrants -
ListRetirableGrants -
권한 부여 사용 중지 (제한. 단원을 참조하십시오.보조금 폐기 및 철회)
RevokeGrant -

키 정책 또는 IAM 정책을 사용하여 권한 부여를 생성하고 관리하는 작업에 대한 액세스를 제어하는 경우 다음 정책 조건 중 하나 이상을 사용하여 권한을 제한할 수 있습니다.AWS KMS는 다음과 같은 권한 관련 조건 키를 모두 지원합니다. 자세한 정보와 예제를 보려면 단원을 참조하십시오.AWS KMS 조건 키.

kms:GrantConstraintType

부여에 지정된 권한이 포함된 경우에만 주도자가 부여를 생성할 수 있도록 허용합니다.제약 부여.

kms:GrantIsForAWSResource

보안 주체가CreateGrant,ListGrants또는RevokeGrant경우에만한AWS와 통합 된 서비스AWS KMS는 보안 주체를 대신하여 요청을 보냅니다.

kms:GrantOperations

주도자가 부여를 작성할 수 있도록 허용하지만 부여를 지정된 작업으로 제한합니다.

kms:GranteePrincipal

주체가 지정된 권한에 대해서만 부여를 작성할 수 있도록 허용합니다.보안 주체.

kms:RetiringPrincipal

부여가 특정 부여를 지정하는 경우에만 주도자가 부여를 생성할 수 있도록 허용합니다.만료 보안 주체.

권한 부여 보기

권한 부여를 보려면 ListGrants 작업을 사용합니다. 보조금이 적용되는 CMK를 지정해야 합니다. 부여 ID 또는 피부여자 보안 주체별로 부여 목록을 필터링할 수도 있습니다. 더 많은 예제는 권한 부여 보기를 참조하세요.

모든 권한 부여를 보려면 AWS 계정 및 지역과 특정만료 보안 주체를 사용하려면ListRetirableGrants. 응답에는 각 보조금에 대한 세부 정보가 포함됩니다.

참고

ListGrants 응답의 GranteePrincipal 필드에는 일반적으로 권한 부여의 피부여자 보안 주체가 포함됩니다. 그러나 보조금의 피부여자 보안 주체가AWS서비스를 사용하는 경우GranteePrincipal필드에는서비스 주체, 몇 가지 다른 피부여자 주체를 나타낼 수 있습니다.

예를 들어 다음 명령은 CMK에 대한 모든 권한 부여를 나열합니다.

$ aws kms list-grants --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "Grants": [ { "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1572216195.0, "GrantId": "abcde1237f76e4ba7987489ac329fbfba6ad343d6f7075dbd1ef191f0120514a", "Constraints": { "EncryptionContextSubset": { "Department": "IT" } }, "RetiringPrincipal": "arn:aws:iam::111122223333:role/adminRole", "Name": "", "IssuingAccount": "arn:aws:iam::111122223333:root", "GranteePrincipal": "arn:aws:iam::111122223333:user/exampleUser", "Operations": [ "Decrypt" ] } ] }

권한 부여 토큰 사용

권한 부여를 생성할 때 권한 부여는 즉시 적용되지 않을 수 있습니다. 보조금이 완료될 때까지 5분 미만의 짧은 간격이 있을 수 있습니다.최종 일관성, 즉, 새로운 보조금이AWS KMS. 부여가 최종 일관성을 달성하면 피부여자 주도자는 부여 토큰이나 부여에 대한 증거를 지정하지 않고 부여의 권한을 사용할 수 있습니다. 그러나 부여가 너무 새로운 것이면 아직 모든 사람들에게 알려지지 않았습니다.AWS KMS와 함께 요청이 실패 할 수 있습니다AccessDeniedException오류가 발생합니다.

새 부여에서 사용 권한을 즉시 사용하려면권한 부여 토큰는 권한 부여를 사용합니다. 부여 토큰을 저장 하는CreateGrant작업이 반환됩니다. 그런 다음 요청에 부여 토큰을 제출하십시오.AWS KMS작업을 사용합니다. 당신은 어떤 보조금 토큰을 제출할 수 있습니다AWS KMS 부여 작업하고 동일한 요청으로 여러 개의 보조금 토큰을 제출할 수 있습니다.

다음 예에는 가 사용됩니다.CreateGrant작업을 허용할 수 있는 부여를 만드는GenerateDataKey암호화 해제작업을 사용합니다. 부여 토큰을 저장합니다.CreateGrant에서 반환되는token변수를 사용합니다. 그런 다음 호출에서GenerateDataKey작업에서 권한 부여 토큰을 사용 하 여token변수를 사용합니다.

# Create a grant; save the grant token $ token=$(aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:user/appUser \ --retiring-principal arn:aws:iam::111122223333:user/acctAdmin \ --operations GenerateDataKey Decrypt \ --query GrantToken \ --output text) # Use the grant token in a request $ aws kms generate-data-key \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ –-key-spec AES_256 \ --grant-tokens $token

권한이 있는 주도자는 부여가 최종 일관성을 달성하기 전에도 부여 토큰을 사용하여 새 부여를 폐기할 수도 있습니다. (RevokeGrant작업은 부여 토큰을 허용하지 않습니다.) 자세한 내용은 단원을 참조하십시오보조금 폐기 및 철회

# Retire the grant $ aws kms retire-grant --grant-token $token

보조금 폐기 및 철회

부여를 삭제하려면 부여를 사용 중지하거나 취소합니다.

RetireGrantRevokeGrant작업은 서로 매우 유사합니다. 둘 다 권한 부여를 삭제하므로 권한 부여가 허용하는 권한이 제거됩니다. 차이점은 그들이 어떻게 승인되는지입니다.

RevokeGrant

대부분의 경우AWS KMS작업에 대한 액세스 권한RevokeGrant작업은 다음을 통해 제어됩니다.키 정책IAM 정책. 이RevokeGrantAPI는 모든 보안 주체가 호출 할 수 있습니다.kms:RevokeGrant권한이 부여됩니다. 이 권한은 주요 관리자에게 제공된 표준 권한에 포함되어 있습니다. 일반적으로 관리자는 부여가 허용하는 권한을 거부하기 위한 권한 부여를 취소합니다.

RetireGrant

보조금은 은퇴할 수 있는 사람을 결정합니다. 이 디자인을 통해 주요 정책이나 IAM 정책을 변경하지 않고도 보조금 주기를 제어할 수 있습니다. 일반적으로 권한 사용을 마치면 부여를 사용 중지합니다.

보조금은 선택 사항으로 은퇴할 수 있습니다.만료 보안 주체권한 부여에 지정됩니다. 이보안 주체은 보조금을 은퇴할 수도 있지만, 퇴직한 주체이거나 보조금에 RetireGrant 작업이 포함된 경우에만 가능합니다. 백업으로 AWS 계정 권한 부여가 생성된 (루트 사용자) 는 권한 부여의 사용을 중지할 수 있습니다.

이 있습니다kms:RetireGrant권한은 있지만 유틸리티가 제한되어 있습니다. 권한 부여에 지정된 보안 주체는 권한 부여의 사용을 중지할 수 있습니다.kms:RetireGrant권한이 부여됩니다. 이kms:RetireGrant권한 부여만 지정하면 보안 주체가 권한 부여의 사용을 중지할 수 없습니다. 이kms:RetireGrant권한은 키 정책에서 유효하지 않습니다.

  • 권한 부여의 사용을 중지할 수 있는 권한을 거부하려면 권한 부여 사용을 중지할 수 있는Deny작업을 사용하여kms:RetireGrant권한이 부여됩니다.

  • 이 AWS 계정 (루트 사용자) 는kms:RetireGrant권한을 위임하여 권한을 사용 중지할 수 있습니다.

  • 사용 중지되는 보안 주체가 다른 AWS 계정 을 사용하는 경우 다른 계정의 관리자는kms:RetireGrant를 사용하여 해당 계정의 IAM 사용자에게 권한 사용 중지 권한을 위임할 수 있습니다.

다음을 수행할 수 있습니다.권한 부여 토큰를 사용하여 보조금을 은퇴하고 철회하지 마십시오. 새 부여를 즉시 삭제해야 하는 경우AWS KMS, 당신은 그것을 은퇴해야합니다.

부여를 생성, 사용 중지 또는 취소할 때 작업이 완료될 때까지 일반적으로 5분 미만의 짧은 지연이 발생할 수 있습니다.최종 일관성. 다음을 수행할 수 있습니다권한 부여 토큰 사용권한 부여가 생성된 후 즉시 사용을 중지할 수 있습니다. 권한 부여 토큰을 사용하여 부여를 취소할 수 없습니다.