IAM 정책 모범 사례 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 정책 모범 사례

액세스 보안 유지AWS KMS모든 고객 마스터 키 (CMK) 는AWS있습니다.AWS KMS CMK는 가장 중요한 리소스를 보호하는 데 사용됩니다. AWS 계정 . 디자인 하는 시간을 가지고키 정책, IAM 정책보조금, 및VPC 엔드포인트 정책를 사용하여 CMK에 대한 액세스를 제어할 수 있습니다.

CMK에 대한 액세스를 제어하는 IAM 정책 문에서최소 권한의 원칙. IAM 보안 주체에게 사용하거나 관리해야 하는 CMK에 필요한 권한만 부여합니다.

키 정책 사용

가능하면 여러 CMK에 적용할 수 있는 IAM 정책이 아니라 하나의 CMK에 영향을 주는 주요 정책에 권한을 제공합니다 (다른 AWS 계정 . 이는 특히 중요한 권한에 중요합니다.KMS:푸트키 정책KMS:일람표 키 삭제뿐만 아니라 데이터가 보호되는 방식을 결정하는 암호화 작업에도 사용됩니다.

CreateKey 권한 제한

키를 만들 권한을 부여하십시오 (KMS:만들기 키) 가 필요한 보안 주체에게만 적용됩니다. CMK를 만드는 보안 주체도 키 정책을 설정하므로 자신과 다른 사용자에게 자신이 만든 CMK를 사용하고 관리할 수 있는 권한을 부여할 수 있습니다. 이 사용 권한을 허용하면정책 조건. 예를 들어 를 사용할 수 있습니다.kms:CustomerMasterKeySpec조건을 사용하여 대칭 CMK에 대한 사용 권한을 제한할 수 있습니다.

IAM 정책에서 CMK 지정

모범 사례에키 ARN에서 사용 권한이 적용되는 각 CMK의Resource정책 문의 요소를. 이 방법은 보안 주체에 필요한 CMK에 대한 사용 권한을 제한합니다. 예를 들어, 이Resource요소는 보안 주체가 사용해야 하는 CMK만 나열합니다.

"Resource": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" ]

CMK를 지정하는 것이 비실용적일 경우Resource신뢰할 수 있는 AWS 계정 및 리전 (예:arn:aws:kms:region:account:key/*. 또는 신뢰할 수 있는 모든 지역 (*) 에서 CMK에 대한 액세스를 제한하십시오. AWS 계정 (예:arn:aws:kms:*:account:key/*.

다음을 수행할 수 없습니다.키 ID,별칭 이름또는별칭 ARN에서 CMK를 나타내는ResourceIAM 정책의 필드입니다. 별칭 ARN 지정하면 정책이 CMK가 아닌 별칭에 적용됩니다. 별칭에 대한 IAM 정책에 대한 자세한 내용은 단원을 참조하십시오.별칭에 대한 액세스 제어

IAM 정책에서 “리소스”: “*” 금지

와일드카드 문자 (*) 를 신중하게 사용하십시오. 키 정책에서 와일드카드 문자는Resource요소는 키 정책에 연결된 CMK를 나타냅니다. 그러나 IAM 정책에서 와일드 카드 문자 만Resource요소 ("Resource": "*") 은 모든 CMK에 사용 권한을 적용합니다. AWS 계정 보안 주체의 계정에 사용 권한이 있는지 확인합니다. 여기에는 다음과 같습니다.CMK AWS 계정 뿐만 아니라 보안 주체 계정의 CMK도 포함됩니다.

예를 들어, CMK를 다른 AWS 계정 에서 보안 주체는 외부 계정의 CMK 키 정책과 자체 계정의 IAM 정책에서 권한을 필요로 합니다. 임의의 계정이 AWS 계정 kms:Decrypt권한을 부여할 수 있습니다. 이 경우 계정의 IAM 정책에서 역할을 제공합니다.kms:Decrypt모든 CMK에 대한 권한 ("Resource": "*") 는 요구 사항의 IAM 부분을 충족시킵니다. 따라서 해당 역할을 수임할 수 있는 보안 주체는 이제 신뢰할 수 없는 계정의 CMK를 사용하여 암호문을 해독할 수 있습니다. 두 계정의 CloudTrail 로그에 해당 작업에 대한 항목이 표시됩니다.

특히 사용을 피하십시오."Resource": "*"다음 API 작업을 허용하는 정책 문에서. 이러한 작업은 다른 CMK에서 호출 할 수 있습니다. AWS 계정 .

“리소스”를 사용하는 경우: “*”

IAM 정책에서 와일드카드 문자를Resource요소를 필요로 하는 사용 권한만 사용할 수 있습니다. 에는 다음 권한만"Resource": "*"요소를 사용합니다.

참고

별칭 작업에 대한 권한 (KMS:별칭 만들기,KMS:업데이트별칭,KMS:별칭 삭제) 가 별칭과 CMK에 연결되어야 합니다. 다음을 수행할 수 있습니다."Resource": "*"를 사용하여 별칭 및 CMK를 나타내거나Resource요소를 사용합니다. 예제는 별칭에 대한 액세스 제어을 참조하세요.

 

이 항목의 예에서는 CMK에 대한 IAM 정책을 설계하기 위한 추가 정보와 지침을 제공합니다. 일반AWS KMS모범 사례 지침에 대한 자세한 내용은AWS Key Management Service모범 사례. 모든AWS리소스에 대한 자세한 내용은IAM의 보안 모범 사례IAM 사용 설명서.