키 정책 변경 - AWS Key Management Service

키 정책 변경

AWS Management Console 또는 PutKeyPolicy 작업을 사용하여 AWS 계정 에서 KMS 키에 대한 키 정책을 변경할 수 있습니다. 이러한 기법을 사용하여 다른 AWS 계정 에서 KMS 키의 키 정책을 변경할 수 없습니다.

키 정책을 변경하는 경우 다음 사항을 주의해야 합니다.

  • AWS 관리형 키 또는 고객 관리형 키의 키 정책은 볼 수 있지만 고객 관리형 키의 키 정책만 변경할 수 있습니다. AWS 관리형 키 의 정책은 계정에서 KMS 키를 생성한 AWS 서비스에 의해 생성되고 관리됩니다. AWS의 키 의 키 정책은 변경할 수 없습니다.

  • 키 정책에서 IAM 사용자, IAM 역할, AWS 계정 (루트 사용자)를 추가하거나 제거하고, 이러한 보안 주체에 허용되거나 거부된 작업을 변경할 수 있습니다. 키 정책에서 보안 주체와 권한을 지정하는 방법에 대한 자세한 내용은 키 정책 사용 단원을 참조하십시오.

  • 키 정책에 IAM 그룹을 추가할 수 없지만 여러 명의 IAM 사용자를 추가할 수 있습니다. 자세한 정보는 여러 IAM 사용자가 KMS 키에 액세스하도록 허용 단원을 참조하세요.

  • 키 정책에 외부 AWS 계정 을 추가하면 외부 계정에서 IAM 정책을 이용해 해당 계정에서 IAM 사용자, 그룹 또는 역할에도 권한을 부여해야 합니다. 자세한 정보는 다른 계정의 사용자가 CMK를 사용하도록 허용 단원을 참조하세요.

  • 결과 키 정책 문서는 32KB(32,768바이트)를 초과할 수 없습니다.

키 정책 변경 방법

세 가지 다른 방법을 이용해 키 정책을 변경할 수 있으며 이들 방법에 대해서는 다음 섹션에서 설명합니다.

AWS Management Console의 기본 보기 사용

콘솔을 이용해 기본 보기라는 그래픽 인터페이스로 키 정책을 변경할 수 있습니다.

다음 절차가 콘솔에서 본 것과 일치하지 않는 경우, 이 키 정책이 콘솔에서 생성되지 않았거나 키 정책이 콘솔의 기본 보기가 지원하지 않는 방식으로 수정되었음을 뜻합니다. 이 경우 AWS Management Console 정책 보기 사용 또는 AWS KMS API 사용에 설명된 단계를 따릅니다.

  1. 키 정책 보기(콘솔)에서 설명한 대로 고객 관리형 키 정책을 확인합니다. ( AWS 관리형 키 의 키 정책은 변경할 수 없습니다.)

  2. 변경하려는 내용을 결정합니다.

    • 키 관리자를 추가하거나 제거하고, 키 관리자에게 KMS 키 삭제를 허용하거나 금지하려면, 페이지의 키 관리자 섹션에 있는 컨트롤을 사용합니다. 키 관리자는 활성화 및 비활성화, 키 정책 설정 및 키 교체 활성화를 포함해 KMS 키를 관리합니다.

    • 키 사용자를 추가하거나 제거하고, 외부 AWS 계정 이 KMS 키를 사용하도록 허용하거나 금지하려면, 페이지의 키 사용자 섹션에 있는 컨트롤을 사용합니다. 키 사용자는 암호화, 암호 해독, 재암호화 및 데이터 키 생성 같은 암호화 작업에서 KMS 키를 사용할 수 있습니다.

AWS Management Console 정책 보기 사용

콘솔을 이용해 콘솔의 정책 보기에서 키 정책 문서를 변경할 수 있습니다.

  1. 키 정책 보기(콘솔)에서 설명한 대로 고객 관리형 키 정책을 확인합니다. ( AWS 관리형 키 의 키 정책은 변경할 수 없습니다.)

  2. Key Policy(키 정책) 섹션에서 Switch to policy view(정책 보기로 전환)를 선택합니다.

  3. 키 정책 문서를 편집한 다음 변경 사항 저장을 선택합니다.

AWS KMS API 사용

PutKeyPolicy 작업을 사용하여 AWS 계정 에서 KMS 키의 키 정책을 변경할 수 있습니다. 다른 AWS 계정 의 KMS 키에는 이 API를 사용할 수 없습니다.

  1. GetKeyPolicy 작업을 이용해 기존 키 정책 문서를 검색한 다음 이 정책 문서를 파일에 저장합니다. 다중 프로그래밍 언어로 작성된 샘플 코드는 키 정책 가져오기 단원을 참조하십시오.

  2. 원하는 텍스트 편집기에서 키 정책 문서를 열고 편집한 후 파일을 저장합니다.

  3. PutKeyPolicy 작업을 이용해 KMS 키에 업데이트된 키 정책 문서를 적용합니다. 다중 프로그래밍 언어로 작성된 샘플 코드는 키 정책 설정 단원을 참조하십시오.

한 KMS 키에서 다른 KMS 키로 키 정책을 복사하는 예는 AWS CLI 명령 참조의 GetKeyPolicy 예제를 참조하십시오.

여러 IAM 사용자가 KMS 키에 액세스하도록 허용

키 정책에서 IAM 그룹은 유효한 보안 주체가 아닙니다. 여러 IAM 사용자가 KMS 키에 액세스하도록 허용하려면 다음 중 한 방법을 사용합니다.

  • 키 정책에 각각의 IAM 사용자를 추가합니다. 이 방법을 사용하는 경우, 권한 있는 사용자 목록이 변경될 때마다 키 정책을 업데이트해야 합니다.

  • IAM 정책에서 KMS 키에 대한 액세스를 허용하도록 하는 설명이 키 정책에 포함되어야 합니다. 그런 다음 KMS 키에 대한 액세스를 허용하는 IAM 정책을 생성한 다음 권한 있는 IAM 사용자가 포함된 IAM 그룹에 해당 정책을 연결합니다. 이 방법을 사용하면 권한있는 사용자 목록이 변경되어도 정책을 변경할 필요가 없습니다. 해당 IAM 그룹에서 사용자를 제거하거나 추가하기만 하면 됩니다.

AWS KMS 키 정책과 IAM 정책이 상호 작용하는 방식에 대한 자세한 내용은 키 액세스 문제 해결 단원을 참조하십시오.