권한 부여 사용 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

권한 부여 사용

A권한 부여를 허용하는 정책 수단입니다.AWSprincipals를 사용하려면AWS KMS 고객 마스터 키암호화 작업에 사용됩니다. 또한 CMK (DescribeKey) 를 사용하여 권한을 생성 및 관리할 수 있습니다. CMK에 대한 액세스를 승인 할 때 권한 부여는 와 함께 고려됩니다.키 정책IAM 정책. 부여는 주요 정책이나 IAM 정책을 변경하지 않고 권한을 생성하고 삭제할 수 있기 때문에 임시 권한에 자주 사용됩니다.

보조금은 일반적으로 사용되는AWS와 통합되는 서비스AWS KMS를 사용하여 유휴 데이터를 암호화합니다. 서비스는 계정의 사용자를 대신하여 권한 부여를 만들고, 권한을 사용하고, 작업이 완료되는 즉시 부여를 폐기합니다. 방법에 대한 자세한 내용은AWS서비스, 권한 부여 사용,AWS 서비스의 AWS KMS 활용 방식또는저장된 암호화항목의 경우 서비스 사용 설명서 또는 개발자 안내서에 나와 있습니다.

여러 프로그래밍 언어에서 권한 부여를 사용하는 방법을 보여주는 코드 예제는 단원을 참조하세요.권한 부여 작업.

보조금 정보

보조금은 매우 유연하고 유용한 액세스 제어 메커니즘입니다. 당신은에 보조금을 첨부 할 때고객 마스터 키(CMK),권한 부여는 보조금에 지정된 조건이 충족되면 보안 주체가 CMK에 대한 특정 작업을 호출 할 수있게합니다.

  • 각 권한 부여는 단 하나의 CMK에 대한 액세스를 제어합니다. CMK는 동일하거나 다른 일 수 있습니다. AWS 계정 .

  • AWS KMS는 각 CMK에 대한 보조금 수를 제한합니다. 자세한 내용은 단원을 참조하십시오리소스 할당량

  • 권한 부여를 사용하여 액세스를 허용할 수 있지만 거부 규칙을 지정할 수는 없습니다. 권한 부여는 다음에 대한 액세스 권한만 허용부여 작업.

  • 권한 부여에서 권한을 얻는 보안 주체는 권한을 키 정책 또는 IAM 정책에서 가져온 것처럼 권한 부여를 지정하지 않고 이러한 권한을 사용할 수 있습니다. 그러나 보조금을 생성, 폐기 또는 취소하는 경우 작업이 완료될 때까지 일반적으로 5분 미만의 짧은 지연이 발생할 수 있습니다.최종 일관성. 부여에서 사용 권한을 즉시 사용하려면권한 부여 토큰 사용.

  • 권한 부여를 사용하여 다른 AWS 계정 를 사용하여 CMK를 사용할 수 있습니다.

  • 보안 주체에 필요한 사용 권한이 있는 경우 권한 부여 (은퇴또는취소그것). 이러한 작업을 수행하면 부여가 허용한 모든 권한이 제거됩니다. 부여를 실행 취소하기 위해 추가하거나 조정할 정책을 파악할 필요가 없습니다.

  • 권한 부여를 생성, 사용 중지 또는 취소할 때 변경 내용이 전체 기간 동안 사용 가능해질 때까지 일반적으로 5분 미만의 짧은 간격이 있을 수 있습니다.AWS KMS. 자세한 내용은 단원을 참조하십시오.최종 일관성.

부여를 생성할 때와 다른 사람에게 권한 부여 생성 권한을 부여할 때는 주의해야 합니다. 권한 부여를 만들 수있는 권한은 보안에 영향을 미칩니다.KMS:푸트키 정책권한을 사용하여 정책을 설정할 수 있습니다.

  • CMK에 대한 권한 부여 생성 권한이 있는 사용자 (kms:CreateGrant) 는 권한 부여를 사용하여 사용자 및 역할을 허용할 수 있습니다.AWS서비스를 사용하여 CMK를 사용할 수 있습니다. 주체는 자신의 정체성이 될 수 있습니다. AWS 계정 또는 다른 계정 또는 조직의 ID를 사용할 수 있습니다.

  • 보조금의 하위 집합 만 허용 할 수 있습니다AWS KMS작업을 사용합니다. 권한 부여를 사용하여 보안 주체가 CMK를 보고, 암호화 작업에 사용하고, 권한 부여를 생성 및 폐기하도록 허용할 수 있습니다. 자세한 내용은 단원을 참조하십시오.보조금 운영. 를 사용할 수도 있습니다.제약 부여를 사용하여 부여의 사용 권한을 제한할 수 있습니다.

  • 보안 주체는 키 정책 또는 IAM 정책에서 권한 부여를 생성할 수 있는 권한을 가질 수 있습니다. 이러한 주체는 모든부여 작업권한을 가지고 있지 않더라도 CMK에 있습니다. 당신이 허용 할 때kms:CreateGrant권한이 있는 경우정책 조건을 클릭하여 이 권한을 제한합니다.

  • 보안 주체는 부여에서 권한을 만들 수 있는 권한을 얻을 수도 있습니다. 이러한 보안 주체는 정책에서 다른 권한이 있더라도 부여된 권한만 위임할 수 있습니다. 자세한 내용은 단원을 참조하십시오CreateGrant 권한 부여

보조금과 관련된 개념에 대한 도움말은용어.

대칭 및 비대칭 CMK에 대한 권한 부여

대칭 CMK 또는 비대칭 CMK에 대한 액세스를 제어하는 권한 부여를 만들 수 있습니다. 그러나 보안 주체가 CMK에서 지원하지 않는 작업을 수행하도록 허용하는 권한 부여를 생성할 수는 없습니다. 이러한 권한 부여를 시도하면 AWS KMS가 ValidationError 예외를 반환합니다.

대칭 CMK

대칭 CMK에 대한 권한 부여는 Sign, Verify 또는 GetPublicKey 작업을 허용할 수 없습니다. (레거시 작업의 경우 이 규칙에 대한 제한적 예외가 있지만, AWS KMS가 지원하지 않는 작업에 대해 권한 부여를 생성하면 안 됩니다.)

비대칭 CMK

비대칭 CMK에 대한 권한 부여는 데이터 키 또는 데이터 키 페어를 생성하는 작업을 허용하지 않습니다. 또한 자동 키 교체, 가져온 키 구성 요소 또는 사용자 지정 키 스토어 내 CMK와 관련된 작업도 허용하지 않습니다.

키 사용이 SIGN_VERIFY인 CMK에 대한 권한 부여는 암호화 작업을 허용할 수 없습니다. 키 사용이 ENCRYPT_DECRYPT인 CMK에 대한 권한 부여는 Sign 또는 Verify 작업을 허용할 수 없습니다.

용어

보조금을 효과적으로 사용하려면 다음과 같은 용어와 개념을 이해해야 합니다.AWS KMS가 를 사용합니다.

제약 부여

부여의 사용 권한을 제한하는 조건입니다. 현재AWS KMS에 따라 부여 제약 조건을 지원합니다암호화 컨텍스트암호화 작업에 대 한 요청에. 자세한 내용은 단원을 참조하십시오제약 부여 사용

보조금 ID

CMK에 대한 부여의 고유 식별자입니다. 보조금과 함께 사용할 수 있습니다.키 식별자에서 보조금을 식별하기 위해RetireGrant또는RevokeGrant요청입니다.

보조금 운영

이AWS KMS보조금에서 허용 할 수있는 작업. 이들은 또한 받아들이는 작업입니다권한 부여 토큰. 이러한 권한에 대한 자세한 내용은 단원은AWS KMS 권한.

이러한 작업은 실제로 작업을 사용할 수 있는 권한을 나타냅니다. 따라서 에 대한ReEncrypt작업을 지정할 수 있습니다.ReEncryptFrom,ReEncryptTo(두 경우 모두)ReEncrypt*.

부여 작업은 다음과 같습니다.

CMK에서 지원하지 않는 작업에 대해서는 권한 부여를 생성할 수 없습니다. 이러한 권한 부여를 시도하면 AWS KMS가 ValidationError 예외를 반환합니다.

토큰 부여

보조금을 생성할 때 새 보조금을 사용할 수 있을 때까지 짧은 지연 (보통 5분 미만) 이 발생할 수 있습니다.AWS KMS, 즉 달성 할 때까지최종 일관성. 최종 일관성을 달성하기 전에 보조금을 사용하려고하면 액세스 거부 오류가 발생할 수 있습니다. 부여 토큰을 사용하면 부여를 참조하고 즉시 부여 권한을 사용할 수 있습니다.

A권한 부여 토큰는 부여를 나타내는 고유하고 비밀이 아닌 가변 길이의 base64로 인코딩 된 문자열입니다. 부여 토큰을 사용하여 모든부여 작업. 그러나 토큰 값은 해시 다이제스트이므로 부여에 대한 세부 정보는 공개되지 않습니다.

보조금 토큰은 부여가 최종 일관성을 달성 할 때까지만 사용하도록 설계되었습니다. 그 후,보안 주체는 부여 토큰이나 부여에 대한 다른 증거를 제공하지 않고 부여의 권한을 사용할 수 있습니다. 언제든지 부여 토큰을 사용할 수 있지만 일단 부여가 일관성이 유지되면AWS KMS는 권한 부여를 사용하여 권한 부여 토큰이 아닌 권한을 결정합니다.

예를 들어 다음 명령은GenerateDataKey작업을 사용합니다. 부여 토큰을 사용하여 호출자 (피부여자 보안 주체) 에게GenerateDataKey지정된 CMK에서.

$ aws kms generate-data-key \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --key-spec AES_256 \ --grant-token $token

부여 토큰을 사용하여 권한 부여를 관리하는 작업에서 부여를 식별할 수도 있습니다. 예를 들어만료 보안 주체에 대한 호출에서 부여 토큰을 사용할 수RetireGrant작업을 사용합니다.

$ aws kms retire-grant \ --grant-token $token

CreateGrant은 부여 토큰을 반환하는 유일한 작업입니다. 다른 토큰에서 보조금 토큰을 얻을 수 없습니다.AWS KMS작업 또는CloudTrail 로그 이벤트만들기그랜트 작업에 대 한. 이ListGrantsListRetirableGrants연산이 반환되는부여 ID와 동일하지만 부여 토큰은 아닙니다.

자세한 내용은 단원을 참조하십시오권한 부여 토큰 사용

보안 주체

권한 부여에 지정된 권한을 가져오는 자격 증명입니다. 보조금에는 피부여자 보안 주체가 하나 이상 있어야 합니다. 피부여자 주체는AWS보안 주체 ( AWS 계정 (루트),IAM 사용자,IAM 역할,페더레이션된 역할 또는 사용자또는 수임된 역할 사용자입니다. 피부여자 보안 주체는 CMK와 동일한 계정 또는 다른 계정에 있을 수 있습니다. 그러나 피부여자 보안 주체는서비스 주체,IAM 그룹, 또는AWS조직.

은퇴 (보조금)

부여를 종료합니다. 권한 사용을 마치면 부여를 사용 중지합니다.

부여를 취소하거나 폐기하면 모두 부여가 삭제됩니다. 그러나 은퇴는 보조금에 지정된 보안 주체에 의해 수행됩니다. 해지는 일반적으로 키 관리자가 수행합니다. 자세한 내용은 단원을 참조하십시오보조금 폐기 및 철회

만료 보안 주체

할 수 있는 교장권한 부여 은퇴. 보조금에서 은퇴하는 주체를 지정할 수 있지만 필수는 아닙니다. 은퇴하는 주체는AWS보안 주체 AWS 계정 (루트), IAM 사용자, IAM 역할, 페더레이션 사용자 및 수임된 역할 사용자가 포함됩니다. 중지된 보안 주체는 CMK와 동일한 계정 또는 다른 계정에 있을 수 있습니다.

보조금에 지정된 은퇴 원금 외에도 보조금은 AWS 계정 권한 부여가 생성된 (루트 사용자). 부여가 허용하는 경우RetireGrant작업의 경우보안 주체은 보조금을 은퇴 할 수 있습니다. 또한, AWS 계정 (루트 사용자) 또는 AWS 계정 의 IAM 보안 주체에 부여를 사용 중지할 권한을 위임할 수 있는 권한을 위임할 수 있습니다. AWS 계정 . 자세한 내용은 단원을 참조하십시오보조금 폐기 및 철회

취소 (보조금)

부여를 종료합니다. 부여를 취소하면 부여가 허용하는 권한을 적극적으로 거부할 수 있습니다.

부여를 취소하거나 폐기하면 모두 부여가 삭제됩니다. 그러나 은퇴는 보조금에 지정된 보안 주체에 의해 수행됩니다. 해지는 일반적으로 키 관리자가 수행합니다. 자세한 내용은 단원을 참조하십시오보조금 폐기 및 철회

최종 일관성 (권한 부여의 경우)

권한 부여를 생성, 폐기 또는 취소할 때 변경 내용을 사용할 수 있는 짧은 지연 (보통 5분 미만) 이 있을 수 있습니다.AWS KMS. 이 간격이 완료되면 작업을 수행 한 것으로 간주합니다.최종 일관성.

예기치 않은 오류가 발생하는 경우 이 짧은 지연을 알게 될 수 있습니다. 예를 들어, 새 부여를 관리하거나 새 부여에서 사용 권한을 사용하려고 하면 부여가AWS KMS를 사용할 수 없는 경우 액세스 거부 오류가 발생할 수 있습니다. 부여를 사용 중지하거나 취소하는 경우 부여가 완전히 삭제될 때까지 피부여자 주도자는 잠시 동안 해당 권한을 사용할 수 있습니다. 일반적인 전략은 요청을 다시 시도하는 것이며AWSSDK에는 자동 백오프 및 재시도 로직이 포함됩니다.

AWS KMS에는 이 짧은 지연을 완화하는 기능이 있습니다.

참고

Grant 토큰은 서비스의 모든 끝점이 새 허가 상태로 업데이트될 때까지 부여의 유효성을 대체합니다. 대부분의 경우 최종 일관성은 5 분 이내에 달성됩니다.