에서 IAM 정책 사용 AWS KMS - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 IAM 정책 사용 AWS KMS

정책을 IAM 정책, 권한 부여VPC 엔드포인트 정책과 함께 사용하여 AWS KMS keys 의에 대한 액세스를 제어할 수 있습니다 AWS KMS.

참고

IAM 정책을 사용하여 KMS 키에 대한 액세스를 제어하려면 키의 KMS 키 정책이 계정에 IAM 정책을 사용할 수 있는 권한을 부여해야 합니다. 특히 주요 정책에는 IAM 정책을 활성화하는 정책 설명이 포함되어야 합니다.

이 섹션에서는 IAM 정책을 사용하여 AWS KMS 작업에 대한 액세스를 제어하는 방법을 설명합니다. 에 대한 자세한 내용은 IAM 사용 설명서를 IAM참조하세요.

모든 KMS 키에는 키 정책이 있어야 합니다. IAM 정책은 선택 사항입니다. IAM 정책을 사용하여 KMS 키에 대한 액세스를 제어하려면 키의 KMS 키 정책이 계정에 IAM 정책을 사용할 수 있는 권한을 부여해야 합니다. 특히 주요 정책에는 IAM 정책을 활성화하는 정책 설명이 포함되어야 합니다.

IAM 정책은 모든 AWS KMS 작업에 대한 액세스를 제어할 수 있습니다. 키 정책과 달리 IAM 정책은 여러 KMS 키에 대한 액세스를 제어하고 여러 관련 AWS 서비스의 작업에 대한 권한을 제공할 수 있습니다. 그러나 IAM 정책은 특정 키가 포함되어 있지 않기 때문에 키 정책으로 제어할 CreateKey수 없는와 같은 작업에 대한 액세스를 제어하는 데 특히 유용합니다KMS.

Amazon Virtual Private Cloud(AmazonVPC) 엔드포인트를 AWS KMS 통해에 액세스하는 경우 엔드포인트 정책을 사용하여 VPC 엔드포인트를 사용할 때 AWS KMS 리소스에 대한 액세스를 제한할 수도 있습니다. 예를 들어 VPC 엔드포인트를 사용할 때의 보안 주체만 고객 관리형 키에 액세스 AWS 계정 하도록 허용할 수 있습니다. 자세한 내용은 VPC 엔드포인트 정책을 참조하세요.

JSON 정책 문서 작성 및 형식 지정에 대한 도움말은 IAM 사용 설명서IAM JSON 정책 참조를 참조하세요.

IAM 정책을 다음과 같이 사용할 수 있습니다.

  • 페더레이션 또는 교차 계정 권한에 대한 역할에 권한 정책 연결 - IAM 역할에 IAM 정책을 연결하여 자격 증명 페더레이션을 활성화하거나, 교차 계정 권한을 허용하거나, EC2 인스턴스에서 실행되는 애플리케이션에 권한을 부여할 수 있습니다. IAM 역할의 다양한 사용 사례에 대한 자세한 내용은 IAM 사용 설명서IAM 역할을 참조하세요.

  • 사용자 또는 그룹에 권한 정책 연결 – 사용자 또는 사용자 그룹이 AWS KMS 작업을 호출하도록 허용하는 정책을 연결할 수 있습니다. 그러나 IAM 모범 사례에서는 가능하면 IAM 역할과 같은 임시 자격 증명과 함께 자격 증명을 사용하는 것이 좋습니다.

다음 예제에서는 AWS KMS 권한이 있는 IAM 정책을 보여줍니다. 이 정책은 연결된 자격 증명이 모든 KMS 키와 IAM 별칭을 나열하도록 허용합니다.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" } }

모든 IAM 정책처럼 이 정책에는 Principal 요소가 없습니다. IAM 정책을 IAM 자격 증명에 연결하면 해당 자격 증명은 정책에 지정된 권한을 얻습니다.

적용되는 모든 AWS KMS API 작업과 리소스를 보여주는 표는 섹션을 참조하세요권한 참조.

여러 IAM 보안 주체가 KMS 키에 액세스하도록 허용

키 정책에서 IAM 그룹은 유효한 보안 주체가 아닙니다. 여러 사용자와 역할이 KMS 키에 액세스하도록 허용하려면 다음 중 하나를 수행합니다.

  • IAM 역할을 키 정책의 보안 주체로 사용합니다. 필요한 경우 여러 명의 권한 있는 사용자가 해당 역할을 맡을 수 있습니다. 자세한 내용은 IAM 사용 설명서IAM 역할을 참조하세요.

    키 정책에 여러 IAM 사용자를 나열할 수 있지만, 권한 있는 사용자 목록이 변경될 때마다 키 정책을 업데이트해야 하므로이 방법은 권장되지 않습니다. 또한 IAM 모범 사례에서는 장기 자격 증명이 있는 IAM 사용자의 사용을 권장하지 않습니다. 자세한 내용은 IAM 사용 설명서의 보안 모범 사례를 IAM 참조하세요.

  • IAM 정책을 사용하여 IAM 그룹에 권한을 부여합니다. 이렇게 하려면 키 정책에 IAM 정책이 키에 대한 액세스를 허용하는 문이 포함되어 있는지 확인하고, KMS 키에 대한 액세스를 허용하는 IAM 정책을 생성한 다음KMS, 승인된 IAM 사용자가 포함된 IAM 그룹에 해당 정책을 연결합니다. 이 방법을 사용하면 권한있는 사용자 목록이 변경되어도 정책을 변경할 필요가 없습니다. 해당 IAM 그룹에서 사용자를 제거하거나 추가하기만 하면 됩니다. 자세한 내용은 IAM 사용 설명서의 사용자 그룹을 참조하세요. IAM

AWS KMS 키 정책과 IAM 정책이 함께 작동하는 방식에 대한 자세한 내용은 섹션을 참조하세요AWS KMS 권한 문제 해결.