AWS KMS에서 키 정책 사용 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS에서 키 정책 사용

주요 정책은 액세스를 제어하는 주요 방법입니다. 고객 마스터 키 (CMKs) AWS KMS. 액세스를 제어하는 유일한 방법은 아니지만, 이 방법을 사용하지 않고 액세스를 제어할 수 없습니다. 자세한 정보는 액세스 관리 AWS KMS CMKs 단원을 참조하십시오.

JSON 정책 문서 작성 및 서식 지정에 대한 도움말은 IAM 사용 설명서IAM JSON 정책 참조를 참조하세요.

키 정책 개요

키 정책은 JSON(JavaScript Object Notation)을 이용해 권한을 지정하는 문서입니다. 이러한 JSON 문서로 직접 작업하거나 AWS Management 콘솔을 통해 기본 보기라는 그래픽 인터페이스를 사용해 작업할 수 있습니다.

콘솔의 주요 정책에 대한 기본 보기에 대한 자세한 내용은 다음을 참조하십시오. 기본 키 정책 and 키 정책 변경. JSON 정책 문서 작성 및 서식 지정에 대한 도움말은 IAM 사용 설명서IAM JSON 정책 참조를 참조하세요.

키 정책 문서는 32KB(32,768바이트)를 초과할 수 없습니다. 주요 정책 문서는 다른 정책 문서와 동일한 JSON 구문을 사용합니다. AWS 다음과 같은 기본 구조를 가지고 있습니다.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "statement identifier", "Effect": "effect", "Principal": "principal", "Action": "action", "Resource": "resource", "Condition": {"condition operator": {"condition context key": "context key value"}} }] }

키 정책 문서에는 Version 요소가 있어야 합니다. 버전을 2012-10-17(최신 버전)로 설정하는 것이 좋습니다. 또한 키 정책 문서에는 하나 이상의 문이 있어야 하고 각 문은 최대 6개 요소로 구성됩니다.

  • Sid – (선택 사항) Sid는 문 식별자로서, 문 식별에 사용할 수 있는 임의 문자열입니다.

  • Effect – (필수) 정책 설명에서 권한을 허용할지 거부할지 지정합니다. Effect는 Allow 또는 Deny여야 합니다. 명시적으로 액세스할 수 없는 경우 CMK, 액세스가 암묵적으로 거부됩니다. 또한 CMK. 다른 정책에서 액세스 권한을 허용하더라도 사용자가 해당 CMK에 액세스할 수 없도록 하려고 할 때 이러한 작업을 수행할 수 있습니다.

  • Principal – (필수) 보안 주체는 정책 설명에 지정된 권한을 갖는 자격 증명입니다. AWS 계정(루트), IAM 사용자, IAM 역할, 일부 AWS 서비스를 키 정책에서 보안 주체로 지정할 수 있습니다. IAM 그룹은 유효한 보안 주체가 아닙니다.

    참고

    조건을 사용하여 키 정책을 제한하는 경우를 제외하고, 권한을 허용하는 키 정책 문에 보안 주체를 별표(*)로 설정하지 마시기 바랍니다. 별표는 다른 정책문에서 명백하게 거부한 경우를 제외하고 모든 AWS 계정 내 모든 자격 증명에게 CMK를 사용할 수 있도록 허가합니다. 다른 AWS 계정의 사용자는 본인의 계정에서 CMK를 사용할 수 있는 해당 IAM 허가만 있으면 됩니다.

  • Action – (필수) 허용하거나 거부할 API 작업을 지정합니다. 예를 들어 kms:Encrypt 작업은 AWS KMS Encrypt 작업에 해당합니다. 정책 설명에 두 개 이상의 Action을 나열할 수 있습니다. 자세한 정보는 AWS KMS API 권한 참조 단원을 참조하십시오.

  • 자원 – (필수) 핵심 정책에서 리소스 요소의 값은 다음과 같습니다. "*"이것은 "이것은 CMK." 별표("*") CMK 핵심 정책을 첨부합니다.

  • Condition – (선택 사항) 키 정책이 적용되기 위해 충족해야 하는 요구 사항을 지정합니다. 이를 통해 AWS는 API 요청의 컨텍스트를 평가해 정책 설명의 적용 여부를 판단할 수 있습니다. 자세한 정보는 정책 조건 사용 단원을 참조하십시오.

자세한 정보는 AWS 정책 구문, 참조 AWS IAM 정책 참조 in the IAM 사용 설명서.

기본 키 정책

기본 키 정책을 CMK 프로그램적으로

여러분이 CMK 프로그램적으로—즉, AWS KMS API ( AWS 스펙 and 명령줄 도구)—새로운 정책에 대한 주요 정책을 제공할 수 있습니다. CMK. 사용자가 제공하지 않으면 AWS KMS가 자동으로 생성합니다. 이 기본 키 정책은 AWS 계정(루트 사용자)을 CMK 에 대한 CMK 계정 내의 IAM 정책을 사용하여 CMK. 이 정책 설명에 대한 자세한 내용은 AWS 계정에 대한 액세스 허용 및 IAM 정책 활성화 섹션을 참조하십시오.

기본 키 정책을 CMK with the AWS Management 콘솔

귀하가 만들기 CMK with the AWS Management 콘솔을(를) 선택할 수 있습니다. IAM 사용자, IAM 역할 및 AWS 계정 액세스 권한이 부여된 CMK. 콘솔이 자동으로 생성한 기본 키 정책에 선택한 사용자, 역할, 계정이 추가됩니다. 콘솔에서 기본 보기를 이용해 이 키 정책을 보고 수정할 수도 있고, 키 정책 문서로 바로 작업할 수도 있습니다. 콘솔이 생성한 기본 키 정책은 다음 권한을 허용합니다. 각 권한에 대해서는 해당 섹션에서 설명합니다.

Permissions

AWS 계정에 대한 액세스 허용 및 IAM 정책 활성화

기본 키 정책은 AWS 계정(루트 사용자)을 CMK 에 대한 CMK다음 두 가지 사항을 모두 수행합니다.

1. 위험 감소 CMK 관리할 수 없습니다.

귀하는 AWS 이 사용자에 대한 액세스를 허용하여 CMK 관리할 수 없습니다. 다음 시나리오를 고려하십시오.

  1. A CMK의 키 정책은 하나 IAM 사용자, 앨리스, CMK. 이 키 정책은 루트 사용자에 대한 액세스를 허용하지 않습니다.

  2. 누군가 IAM 사용자 Alice를 삭제합니다.

이 시나리오에서는 CMK 이제 관리할 수 없으며 연락처 AWS 지원 리모델링을 CMK. 루트 사용자가 CMK루트 사용자가 액세스할 수 있기 때문에 CMK 키 정책이 명시적으로 허용하는 경우에만 을(를) 허용합니다. 루트 사용자에 대한 액세스를 묵시적으로 허용하는 AWS의 다른 대다수 리소스와 다릅니다.

2. 활성화 IAM 정책에 대한 액세스 권한을 CMK.

IAM 자기 자신에 대한 액세스 권한은 CMK. 하지만 CMK키 정책에 따라 의 키 정책을 사용할 수 있습니다. 기부 AWS 계정 전체 액세스 권한 CMK 이를 통해 IAM 제공하는 정책 IAM 사용자 및 역할 CMK. 그 자체로는 IAM 사용자 또는 역할 액세스를 CMK을(를) 사용하면 IAM 정책을 준수해야 합니다. 자세한 정보는 액세스 관리 AWS KMS CMKs 단원을 참조하십시오.

다음 예는 AWS 계정에 대한 액세스를 허용하고 따라서 IAM 정책을 활성화하는 정책 설명을 보여줍니다.

{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }

주요 관리자가 CMK

콘솔이 생성한 기본 키 정책을 통해 해당 계정에서 IAM 사용자와 역할을 선택하고 이들을 키 관리자로 지정할 수 있습니다. 주요 관리자는 CMK을(를) 사용할 권한이 없습니다. CMK 에서 암호화 작업.

주의

주요 관리자는 CMK 데이터를 암호화하고 해독하려면 키 정책을 변경할 권한이 있습니다. 즉 스스로 모든 AWS KMS 권한을 부여할 수 있습니다.

추가할 수 있습니다. IAM 사용자 및 역할을 CMK. 다음 이미지에서 보듯이, 키 정책에 대한 콘솔의 기본 보기로 목록을 편집할 수도 있습니다. 주요 정책의 기본 보기는 각 항목에 대한 주요 세부 정보 페이지에서 확인할 수 있습니다. CMK.


          콘솔의 기본 키 정책의 키 관리자, 기본 보기

콘솔의 기본 보기를 이용해 키 관리자 목록을 수정하면 콘솔이 키 정책의 특정 문에서 Principal 요소를 수정합니다. 이 문은 키 관리자 문이라고 합니다. 다음은 키 관리자 문을 나타낸 예제입니다.

{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KMSAdminUser", "arn:aws:iam::111122223333:role/KMSAdminRole" ]}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }

키 관리자 문은 다음 권한을 허용합니다.

  • kms:생성* – 주요 관리자가 별칭을 생성하고 보조금 이를 위해 CMK.

  • kms:설명* – 주요 관리자가 이 정보에 대한 정보를 얻을 수 있습니다. CMK 식별자, 생성 날짜, 상태 등을 비롯하여. AWS Management 콘솔에서 키 세부 정보 페이지를 보려면 이 권한이 필요합니다.

  • kms:활성화* – 핵심 관리자가 이 설정을 설정할 수 있습니다. CMK의 상태가 활성화되었습니다. 대칭의 경우 CMKs키 관리자는 연간 회전 CMK의 주요 재료.

  • kms:목록* – 주요 관리자가 이 보고서에 대한 별칭, 보조금, 주요 정책 및 태그 목록을 얻을 수 있습니다. CMK. 이 허가는 CMKs in the AWS Management 콘솔.

  • kms:Put* – 키 관리자가 이 정책에 대한 주요 정책을 변경할 수 있습니다. CMK.

  • kms:업데이트* – 키 관리자가 별칭의 대상을 변경할 수 있음 CMK을(를) 변경하려면 CMK의 설명.

  • kms:취소* – 주요 관리자가 이 권한을 취소할 수 있도록 허용합니다. CMK 이는 교부금.

  • kms:비활성화* – 핵심 관리자가 이 설정을 설정할 수 있습니다. CMK의 키 상태가 비활성화되었습니다. 대칭의 경우 CMKs, 키 관리자가 비활성화할 수 있습니다. 연간 회전 CMK의 주요 재료.

  • kms:get* – 핵심 관리자가 이 정책에 대한 주요 정책을 얻을 수 있습니다. CMK 이 문제를 CMK의 주요 재료는 년에 회전됩니다. 대상 대칭 CMKs with 가져온 키 재료핵심 관리자가 키 자료를 가져오기 위해 필요한 가져오기 문서와 공개 키를 다운로드할 수 있습니다. CMK. 대상 메트릭 CMKs핵심 관리자는 공개 키 다운로드 of the CMK.

  • kms:삭제* – 키 관리자가 이와 관련된 별칭을 삭제할 수 있음 CMK. 대칭의 경우 CMKs with 가져온 키 재료키 관리자가 가져온 키 재료 를 삭제합니다. 이 권한은 키 관리자가 삭제 CMK.

  • kms:수입재료 – 핵심 관리자가 키 자료를 CMK. 이 허가는 다음의 경우에만 주요 정책에 포함됩니다. 만들기 CMK 핵심 재료 없이.

    참고

    이 역할은 앞의 예제 정책 설명에 표시되지 않습니다.

  • kms:태그 리소스 – 키 관리자가 이 태그를 위해 태그를 추가하고 업데이트할 수 있음 CMK.

  • kms:untagresource – 키 관리자가 이 태그를 제거할 수 있음 CMK.

  • kms:스케줄키 삭제 – 핵심 관리자가 삭제 CMK.

  • kms:취소삭제 – 키 관리자가 이 문서의 보류 중인 삭제를 취소할 수 있습니다. CMK.

이전 목록의 마지막 두 가지 권한 kms:ScheduleKeyDeletion and kms:CancelKeyDeletion은(는) 기본적으로 포함 만들기 CMK. 그러나, 사용자가 CMK 확인란을 선택 취소하여 키 관리자가 이 키 삭제 허용. 동일한 방법으로 키 세부 정보 페이지를 사용하여 기존 키 정책에서 기존 키 정책을 제거할 수 있습니다. CMKs. 자세한 정보는 키 편집 단원을 참조하십시오.

많은 경우 이러한 권한에 와일드카드 문자(*)가 포함됩니다. 즉 AWS KMS가 이후에 새 API 작업을 추가하면 키 관리자는 자동으로 Create, Describe, Enable, List, Put, Update, Revoke, Disable, Get, 또는 Delete로 시작하는 모든 새 API 작업을 수행할 수 있습니다.

참고

앞부분에서 설명한 키 관리자 문은 기본 키 정책의 최신 버전에 수록되어 있습니다. 이전 버전의 기본 키 정책에 대한 자세한 내용은 키 정책을 최신으로 유지하기 섹션을 참조하십시오.

주요 사용자가 CMK

콘솔이 대칭을 위해 생성하는 기본 키 정책 CMKs 선택할 수 있습니다 IAM 사용자 및 역할 및 외부 AWS 고객을 주요 사용자.

콘솔은 키 사용자에 대한 키 정책에 두 개의 정책 문을 추가합니다.

추가할 수 있습니다. IAM 사용자, IAM 역할 및 기타 AWS 계정을 사용하여 CMK. 다음 이미지에서 보듯이, 키 정책에 대한 콘솔의 기본 보기로 목록을 편집할 수도 있습니다. 키 정책의 기본 보기는 키 세부 정보 페이지에 있습니다. 다른 사용자를 허용하는 방법에 대한 자세한 내용은 AWS 계정 사용 CMK, 참조: 다른 계정의 사용자가 CMK를 사용하도록 허용.


          콘솔의 기본 키 정책의 키 사용자, 기본 보기

콘솔의 기본 보기를 이용해 키 사용자 목록을 변경하면 콘솔이 키 정책의 두 설명문에서 Principal 요소를 변경합니다. 이러한 문을 키 사용자 문이라고 합니다. 다음 예는 대칭에 대한 주요 사용자 설명을 보여줍니다. CMKs.

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::111122223333:role/CMKRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::111122223333:role/CMKRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }

주요 사용자가 CMK 암호화 작업

주요 사용자는 CMK 모두 암호화 작업 지원 CMK. 또한 설명 작업에 대한 자세한 정보를 CMK in the AWS KMS 콘솔 또는 AWS KMS API 작업.

기본적으로 AWS KMS 콘솔은 다음 예제와 같은 키 사용자 문을 기본 키 정책에 추가합니다. 서로 다른 API 작업을 지원하므로 대칭에 대한 정책 문의 동작이 CMKs, 주석 메트릭 CMKs 공개 키 암호화 및 CMKs 서명 및 확인은 약간 다릅니다.

대칭 CMKs

콘솔은 대칭에 대한 주요 정책에 다음 문장을 추가합니다. CMKs.

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/CMKUser"}, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "*" }
&t={\f CMKs 공개 키 암호화

콘솔은 기본 정책에 대한 주요 정책에 다음 문장을 추가합니다. CMKs 의 주요 사용 암호화 및 암호 해독.

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/CMKUser"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:DescribeKey", "kms:GetPublicKey" ], "Resource": "*" }
&t={\f CMKs 서명 및 확인

콘솔은 기본 정책에 대한 주요 정책에 다음 문장을 추가합니다. CMKs 의 주요 사용 서명 및 확인.

{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/CMKUser"}, "Action": [ "kms:DescribeKey", "kms:GetPublicKey", "kms:Sign", "kms:Verify" ], "Resource": "*" }

이러한 문의 작업은 키 사용자에게 다음 권한 중 일부를 제공합니다.

  • kms:암호화 – 주요 사용자가 데이터를 암호화할 수 있음 CMK.

  • kms:암호 해독 – 주요 사용자가 데이터를 암호화할 수 있도록 허용 CMK.

  • kms:설명 – 주요 사용자가 이에 대한 자세한 정보를 얻을 수 있습니다. CMK 식별자, 생성일 및 키 상태를 포함합니다. 또한 주요 사용자가 CMK in the AWS KMS 콘솔.

  • kms:GenerateDataKey* – 키 사용자가 클라이언트 측 암호화 작업을 위해 대칭 데이터 키 또는 비대칭 데이터 키 페어를 요청하도록 허용합니다. 콘솔은 * 와일드카드 문자를 사용하여 다음 API 작업에 대한 권한을 나타냅니다. generatedatakey, generatedatakeywithoutplaintext, generatedata키패드, 그리고 generatedataifairwithplaintext.

  • kms:getpublickey – 주요 사용자가 팔레트 메트릭의 공개 키를 다운로드할 수 있습니다. CMK. 이 퍼블릭 키를 공유하는 당사자는 AWS KMS 외부의 데이터를 암호화할 수 있습니다. 그러나 이러한 암호화 텍스트는 AWS KMS에서 Decrypt 작업을 호출해야만 해독할 수 있습니다.

  • kms:재암호화* – 주요 사용자가 원래 암호화한 데이터를 다시 암호화할 수 있음 CMK, 또는 CMK 이전에 암호화된 데이터를 다시 암호화하려면 The 재암호화 작동하려면 소스 및 대상에 대한 액세스가 필요합니다. CMKs. 이를 달성하기 위해 kms:ReEncryptFrom 소스 허가 CMK and kms:ReEncryptTo 목적지에 대한 허가 CMK. 그러나 단순함을 위해 콘솔은 kms:ReEncrypt* ( * 와일드카드 문자) CMKs.

  • kms:서명 – 주요 사용자가 이 메시지를 사용하여 메시지에 서명할 수 있습니다. CMK.

  • kms:확인 – 주요 사용자가 서명하여 서명을 확인할 수 있습니다. CMK.

주요 사용자가 CMK with AWS 서비스

콘솔의 기본 키 정책은 또한 주요 사용자에게 허용되는 권한을 부여합니다. AWS 통합된 서비스 AWS KMS 사용하기 위해 CMK, 특히 보조금을 사용하는 서비스.

주요 사용자는 CMK 구체적이고 제한적인 방식으로. 이 묵시적 위임은 권한 부여를 통해 이루어집니다. 이러한 보조금을 통해 AWS 서비스 CMK 을(를) 계정에서 보호합니다.

{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/CMKUser"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }

예를 들어, 주요 사용자는 CMK 을(를) 참조하십시오.

  • 사용 CMK with Amazon Elastic Block Store (Amazon EBS) 및 Amazon Elastic Compute Cloud (Amazon EC2)를 사용하여 암호화된 EBS 볼륨을 EC2 인스턴스에 연결합니다. 주요 사용자가 암시적으로 Amazon EC2 사용 권한 CMK 인스턴스에 암호화된 볼륨을 연결합니다. 자세한 정보는 Amazon Elastic Block Store(Amazon EBS)의 AWS KMS 활용 방식 단원을 참조하십시오.

  • 사용 CMK with Amazon Redshift 암호화된 클러스터를 시작합니다. 주요 사용자가 암시적으로 Amazon Redshift 사용 권한 CMK 암호화된 클러스터를 실행하고 암호화된 스냅샷을 생성합니다. 자세한 정보는 Amazon Redshift의 AWS KMS 활용 방식 단원을 참조하십시오.

  • 사용 CMK 기타 AWS 서비스 통합 AWS KMS특히 보조금을 사용하는 서비스는 이러한 서비스를 통해 암호화된 리소스를 생성, 관리 또는 사용합니다.

kms:GrantIsForAWSResource 조건 키를 사용하면 키 사용자가 권한 부여를 생성하고 관리할 수 있지만 피부여자가 권한 부여를 사용하는 AWS 서비스인 경우에만 가능합니다. 이 권한은 키 사용자가 권한 부여를 사용하는 모든 통합 서비스를 사용하도록 허용합니다. 그러나 특정 정책을 사용하여 특정 정책을 AWS 서비스 CMK 을(를) 대신하여 을(를) 대신합니다. 자세한 내용은 kms:ViaService 조건 키를 참조하십시오.

주요 사용자에게는 CMK 통합 서비스를 통해 이 권한은 충분하지 않습니다. 키 사용자는 통합 서비스를 사용할 수 있는 권한도 필요합니다. 사용자에게 AWS와 통합된 AWS KMS 서비스에 액세스할 수 있는 권한을 부여하는 방법에 대한 세부 정보는 통합 서비스의 설명서를 참조하십시오.

예제 키 정책

다음 예는 대칭에 대한 완전한 핵심 정책을 보여 줍니다. CMK. 이 키 정책은 앞의 기본 키 정책 섹션의 예제 정책 설명을 단일 키 정책에 결합하여 다음을 달성합니다.

  • 허용 AWS 계정(루트 사용자) 111122223333 에 대한 CMK따라서 IAM 계정 내의 정책을 CMK.

  • 허용 IAM 사용자 kmsadminuser 및 IAM KMSADMINROLE 역할을 수행하려면 CMK.

  • 허용 IAM 사용자 CMK사용자, IAM 역할 CMK역할 및 AWS 계정 444455556666 사용하기 위해 CMK.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-2", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KMSAdminUser", "arn:aws:iam::111122223333:role/KMSAdminRole" ]}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::111122223333:role/CMKRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/CMKUser", "arn:aws:iam::111122223333:role/CMKRole", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }

다음 이미지는 키 정책에 대한 콘솔의 기본 보기로 봤을 때 이 키 정책이 어떻게 보이는지 알 수 있는 예입니다.


        키 정책에 대한 콘솔의 기본 보기의 키 정책