키 정책 변경 - AWS Key Management Service
키 정책 변경 방법여러 IAM 보안 주체가 KMS 키에 액세스하도록 허용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 정책 변경

AWS Management Console또는 PutKeyPolicy작업을 사용하여 KMS 키의 키 정책을 변경할 수 있습니다AWS 계정. 이러한 기법을 사용하여 다른 AWS 계정에서 KMS 키의 키 정책을 변경할 수 없습니다.

키 정책을 변경하는 경우 다음 사항을 주의해야 합니다.

  • AWS 관리형 키 또는 고객 관리형 키의 키 정책은 볼 수 있지만 고객 관리형 키의 키 정책만 변경할 수 있습니다. AWS 관리형 키의 정책은 계정에서 KMS 키를 생성한 AWS 서비스에 의해 생성되고 관리됩니다. AWS 소유 키의 키 정책은 변경할 수 없습니다.

  • 키 정책에서 IAM 사용자, IAM 역할, AWS 계정을 추가하거나 제거하고, 이러한 보안 주체에 허용되거나 거부된 작업을 변경할 수 있습니다. 키 정책에서 보안 주체와 권한을 지정하는 방법에 대한 자세한 내용은 키 정책 단원을 참조하십시오.

  • 키 정책에 IAM 그룹을 추가할 수 없지만 여러 명의 IAM 사용자 및 IAM 역할을 추가할 수 있습니다. 자세한 설명은 여러 IAM 보안 주체가 KMS 키에 액세스하도록 허용 섹션을 참조하세요.

  • 키 정책에 외부 AWS 계정을 추가하면 외부 계정에서 IAM 정책을 이용해 해당 계정에서 IAM 사용자, 그룹 또는 역할에도 권한을 부여해야 합니다. 자세한 설명은 다른 계정의 사용자가 KMS를 사용하도록 허용 섹션을 참조하세요.

  • 결과 키 정책 문서는 32KB(32,768바이트)를 초과할 수 없습니다.

키 정책 변경 방법

세 가지 다른 방법을 이용해 키 정책을 변경할 수 있으며 이들 방법에 대해서는 다음 섹션에서 설명합니다.

AWS Management Console의 기본 보기 사용

콘솔을 이용해 기본 보기라는 그래픽 인터페이스로 키 정책을 변경할 수 있습니다.

다음 절차가 콘솔에서 본 것과 일치하지 않는 경우, 이 키 정책이 콘솔에서 생성되지 않았거나 키 정책이 콘솔의 기본 보기가 지원하지 않는 방식으로 수정되었음을 뜻합니다. 이 경우 AWS Management Console 정책 보기 사용 또는 AWS KMS API 사용에 설명된 단계를 따릅니다.

  1. 키 정책 보기(콘솔)에서 설명한 대로 고객 관리형 키 정책을 확인합니다. (AWS 관리형 키의 키 정책은 변경할 수 없습니다.)

  2. 변경하려는 내용을 결정합니다.

    • 키 관리자를 추가하거나 제거하고, 키 관리자에게 KMS 키 삭제를 허용하거나 금지하려면, 페이지의 키 관리자 섹션에 있는 컨트롤을 사용합니다. 키 관리자는 활성화 및 비활성화, 키 정책 설정 및 키 교체 활성화를 포함해 KMS 키를 관리합니다.

    • 키 사용자를 추가하거나 제거하고, 외부 AWS 계정이 KMS 키를 사용하도록 허용하거나 금지하려면, 페이지의 키 사용자 섹션에 있는 컨트롤을 사용합니다. 키 사용자는 암호화, 암호 해독, 재암호화 및 데이터 키 생성 같은 암호화 작업에서 KMS 키를 사용할 수 있습니다.

AWS Management Console 정책 보기 사용

콘솔을 이용해 콘솔의 정책 보기에서 키 정책 문서를 변경할 수 있습니다.

  1. 키 정책 보기(콘솔)에서 설명한 대로 고객 관리형 키 정책을 확인합니다. (AWS 관리형 키의 키 정책은 변경할 수 없습니다.)

  2. 키 정책 섹션에서 정책 보기로 전환을 선택합니다.

  3. 키 정책 문서를 편집한 다음 변경 사항 저장을 선택합니다.

AWS KMS API 사용

PutKeyPolicy작업을 사용하여 KMS 키의 키 정책을 변경할 수 있습니다. AWS 계정 다른 AWS 계정의 KMS 키에는 이 API를 사용할 수 없습니다.

  1. GetKeyPolicy작업을 사용하여 기존 키 정책 문서를 가져온 다음 키 정책 문서를 파일에 저장합니다. 다중 프로그래밍 언어로 작성된 샘플 코드는 키 정책 가져오기 단원을 참조하십시오.

  2. 원하는 텍스트 편집기에서 키 정책 문서를 열고 편집한 후 파일을 저장합니다.

  3. PutKeyPolicy작업을 사용하여 업데이트된 키 정책 문서를 KMS 키에 적용할 수 있습니다. 다중 프로그래밍 언어로 작성된 샘플 코드는 키 정책 설정 단원을 참조하십시오.

한 KMS 키에서 다른 KMS 키로 키 정책을 복사하는 예는 AWS CLI 명령 참조의 GetKeyPolicy 예를 참조하십시오.

여러 IAM 보안 주체가 KMS 키에 액세스하도록 허용

키 정책에서 IAM 그룹은 유효한 보안 주체가 아닙니다. 여러 사용자 및 역할이 KMS 키에 액세스하도록 허용하려면 다음 중 한 방법을 사용합니다.

  • IAM 역할을 키 정책의 보안 주체로 사용하세요. 필요한 경우 여러 명의 권한 있는 사용자가 해당 역할을 맡을 수 있습니다. 자세한 내용은 IAM 사용 설명서에서 IAM 역할을 참조하세요.

    키 정책에 여러 IAM 사용자를 나열할 수 있지만 이 방법을 따르는 경우에는 인증된 사용자 목록이 변경될 때마다 키 정책을 업데이트하기 때문에 권장되지 않습니다. 또한 IAM 모범 사례는 장기 보안 인증 정보가 있는 IAM 사용자의 사용을 장려하지 않습니다. 자세한 내용은 IAM 사용 설명서IAM의 보안 모범 사례를 참조하세요.

  • IAM 정책을 사용하여 IAM 그룹에 권한을 부여하세요. 이 작업을 수행하기 위해서는 키 정책에 IAM 정책이 KMS 키에 대한 액세스를 허용하도록 하는 문이 포함되어 있는지 확인하고, KMS 키에 대한 액세스를 허용하는 IAM 정책을 생성한 다음, 해당 정책을 권한이 있는 IAM 사용자가 포함된 IAM 그룹에 연결합니다. 이 방법을 사용하면 권한있는 사용자 목록이 변경되어도 정책을 변경할 필요가 없습니다. 해당 IAM 그룹에서 사용자를 제거하거나 추가하기만 하면 됩니다. 자세한 내용은 IAM 사용 설명서의 IAM 사용자 그룹을 참조하세요.

AWS KMS 키 정책과 IAM 정책이 상호 작용하는 방식에 대한 자세한 내용은 키 액세스 문제 해결 단원을 참조하십시오.