AWS KMS 권한

이 표는 AWS KMS 리소스에 대한 액세스를 제어할 수 있도록 AWS KMS 권한을 이해하는 데 도움이 되도록 설계되었습니다. 열 머리글의 정의가 테이블 아래에 나와 있습니다.

또한 서비스 AWS KMS 권한 부여 참조 AWS Key Management Service 항목의 작업, 리소스 및 조건 키에서 권한에 대해 알아볼 수 있습니다. 그러나 각 권한을 세부적으로 설정할 때 사용할 수 있는 모든 조건 키가 해당 주제에 나열되어 있지는 않습니다.

참고

테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수 있습니다.

작업 및 권한	정책 유형	교차 계정 사용	리소스(IAM 정책의 경우)	AWS KMS 조건 키
CancelKeyDeletion `kms:CancelKeyDeletion`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAM 정책	아니요	`*`	kms: CallerAccount
CreateAlias `kms:CreateAlias` 이 연산을 사용하려면 호출자가 두 리소스에 대한 `kms:CreateAlias` 권한을 가지고 있어야 합니다. 별칭(IAM 정책에서) KMS 키 (키 정책에서) 자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하십시오.	IAM 정책(별칭의 경우)	아니요	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책 (KMS 키의 경우)	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAM 정책	아니요	`*`	kms: CallerAccount
CreateGrant `kms:CreateGrant`	키 정책	예	KMS 키	암호화 컨텍스트 조건: kms: EncryptionContext 컨텍스트 키 kms: EncryptionContextKeys 권한 부여 조건: kms: GrantConstraintType kms: GranteePrincipal kms: GrantIsFor AWSResource kms: GrantOperations kms: RetiringPrincipal KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
CreateKey `kms:CreateKey`	IAM 정책	아니요	`*`	kms: BypassPolicyLockoutSafetyCheck kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ViaService aws: RequestTag/태그 키 (AWS 글로벌 조건 키) aws: ResourceTag/태그 키 (글로벌 조건 키)AWS aws: TagKeys (AWS 글로벌 컨디션 키)
Decrypt `kms:Decrypt`	키 정책	예	KMS 키	암호화 작업에 대한 조건 kms: EncryptionAlgorithm kms: RequestAlias 암호화 컨텍스트 조건: kms: EncryptionContext 컨텍스트 키 kms: EncryptionContextKeys KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
DeleteAlias `kms:DeleteAlias` 이 연산을 사용하려면 호출자가 두 리소스에 대한 `kms:DeleteAlias` 권한을 가지고 있어야 합니다. 별칭(IAM 정책에서) KMS 키 (키 정책에서) 자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하십시오.	IAM 정책(별칭의 경우)	아니요	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책 (KMS 키의 경우)	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAM 정책	아니요	`*`	kms: CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAM 정책	아니요	`*`	kms: CallerAccount
DescribeKey `kms:DescribeKey`	키 정책	예	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건: kms: RequestAlias
DisableKey `kms:DisableKey`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
DisableKeyRotation `kms:DisableKeyRotation`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAM 정책	아니요	`*`	kms: CallerAccount
EnableKey `kms:EnableKey`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
EnableKeyRotation `kms:EnableKeyRotation`	키 정책	아니요	KMS 키(대칭만 해당)	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
암호화 `kms:Encrypt`	키 정책	예	KMS 키	암호화 작업에 대한 조건 kms: EncryptionAlgorithm kms: RequestAlias 암호화 컨텍스트 조건: kms: EncryptionContext 컨텍스트 키 kms: EncryptionContextKeys KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
GenerateDataKey `kms:GenerateDataKey`	키 정책	예	KMS 키(대칭만 해당)	암호화 작업에 대한 조건 kms: EncryptionAlgorithm kms: RequestAlias 암호화 컨텍스트 조건: kms: EncryptionContext 컨텍스트 키 kms: EncryptionContextKeys KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	키 정책	예	KMS 키(대칭만 해당) 대칭 암호화 KMS 키로 보호되는 비대칭 데이터 키 페어를 생성합니다.	데이터 키 페어의 조건: kms: DataKeyPairSpec 암호화 작업에 대한 조건 kms: EncryptionAlgorithm kms: RequestAlias 암호화 컨텍스트 조건: kms: EncryptionContext 컨텍스트 키 kms: EncryptionContextKeys KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	키 정책	예	KMS 키(대칭만 해당) 대칭 암호화 KMS 키로 보호되는 비대칭 데이터 키 페어를 생성합니다.	데이터 키 페어의 조건: kms: DataKeyPairSpec 암호화 작업에 대한 조건 kms: EncryptionAlgorithm kms: RequestAlias 암호화 컨텍스트 조건: kms: EncryptionContext 컨텍스트 키 kms: EncryptionContextKeys KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	키 정책	예	KMS 키(대칭만 해당)	암호화 작업에 대한 조건 kms: EncryptionAlgorithm kms: RequestAlias 암호화 컨텍스트 조건: kms: EncryptionContext 컨텍스트 키 kms: EncryptionContextKeys KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
GenerateMac `kms:GenerateMac`	키 정책	예	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 암호화 작업에 대한 조건: kms: MacAlgorithm kms: RequestAlias
GenerateRandom `kms:GenerateRandom`	IAM 정책	N/A	`*`	None
GetKeyPolicy `kms:GetKeyPolicy`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	키 정책	예	KMS 키(대칭만 해당)	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
GetParametersForImport `kms:GetParametersForImport`	키 정책	아니요	KMS 키	kms: WrappingAlgorithm kms: WrappingKeySpec KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
GetPublicKey `kms:GetPublicKey`	키 정책	예	KMS 키(비대칭만 해당)	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건: kms: RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건: kms: ExpirationModel kms: ValidTo
ListAliases `kms:ListAliases`	IAM 정책	아니요	`*`	None
ListGrants `kms:ListGrants`	키 정책	예	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건: kms: GrantIsFor AWSResource
ListKeyPolicies `kms:ListKeyPolicies`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
ListKeys `kms:ListKeys`	IAM 정책	아니요	`*`	None
ListResourceTags `kms:ListResourceTags`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAM 정책	지정된 보안 주체는 로컬 계정에 있어야 하지만 작업은 모든 계정에서 권한을 반환합니다.	`*`	None
PutKeyPolicy `kms:PutKeyPolicy`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건: kms: BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` 이 연산을 사용하려면 호출자가 두 KMS 키에 대한 권한을 가지고 있어야 합니다. 해독에 사용되는 KMS 키의 `kms:ReEncryptFrom` 암호화에 사용되는 KMS 키의 `kms:ReEncryptTo`	키 정책	예	KMS 키	암호화 작업에 대한 조건 kms: EncryptionAlgorithm kms: RequestAlias 암호화 컨텍스트 조건: kms: EncryptionContext 컨텍스트 키 kms: EncryptionContextKeys KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건: kms: ReEncryptOnSameKey
ReplicateKey `kms:ReplicateKey` 이 작업을 사용하려면 호출자에게 다음 권한이 필요합니다. 다중 리전 기본 키의 `kms:ReplicateKey` 복제본 리전의 IAM 정책에서 `kms:CreateKey`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건: kms: ReplicaRegion
RetireGrant `kms:RetireGrant` 권한 부여를 사용 중지할 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 설명은 권한 부여 사용 중지 및 취소 섹션을 참조하세요.	IAM 정책 (이 권한은 키 정책에서 유효하지 않습니다.)	예	KMS 키	kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)
RevokeGrant `kms:RevokeGrant`	키 정책	예	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건: kms: GrantIsFor AWSResource
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
Sign `kms:Sign`	키 정책	예	KMS 키(비대칭만 해당)	서명 및 확인을 위한 조건: kms: MessageType kms: RequestAlias kms: SigningAlgorithm KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
TagResource `kms:TagResource`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 태그 지정 조건: aws: RequestTag/태그 키 (AWS 글로벌 조건 키) aws: TagKeys (AWS 글로벌 컨디션 키)
UntagResource `kms:UntagResource`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 태그 지정 조건: aws: RequestTag/태그 키 (AWS 글로벌 조건 키) aws: TagKeys (AWS 글로벌 컨디션 키)
UpdateAlias `kms:UpdateAlias` 이 연산을 사용하려면 호출자가 세 가지 리소스에 대한 `kms:UpdateAlias` 권한을 가지고 있어야 합니다. 별칭 현재 연결된 KMS 키 새로 연결된 KMS 키 자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하세요.	IAM 정책(별칭의 경우)	아니요	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책(KMS 키의 경우)	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAM 정책	아니요	`*`	kms: CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
UpdatePrimaryRegion `kms:UpdatePrimaryRegion` 이 작업을 사용하려면 호출자가 다중 리전 기본 키(복제본 키가 됨)와 다중 리전 복제본 키(기본 키가 됨) 모두에서 `kms:UpdatePrimaryRegion` 권한이 필요합니다.	키 정책	아니요	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 기타 조건 kms: PrimaryRegion
Verify `kms:Verify`	키 정책	예	KMS 키(비대칭만 해당)	서명 및 확인을 위한 조건: kms: MessageType kms: RequestAlias kms: SigningAlgorithm KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService
VerifyMac `kms:VerifyMac`	키 정책	예	KMS 키	KMS 키 작업에 대한 조건: kms: CallerAccount kms: KeySpec kms: KeyUsage kms: KeyOrigin kms: MultiRegion kms: MultiRegionKeyType kms: ResourceAliases aws: ResourceTag/태그 키 (AWS 글로벌 조건 키) kms: ViaService 암호화 작업에 대한 조건: kms: MacAlgorithm kms: RequestAlias

열 설명

이 테이블의 열에는 다음 정보가 표시됩니다.

작업 및 권한에는 각 AWS KMS API 작업과 해당 작업을 허용하는 권한이 나열됩니다. 정책 문의 Action 요소에서 작업을 지정합니다.
정책 유형은 키 정책 또는 IAM 정책에서 권한을 사용할 수 있는지 여부를 나타냅니다.

키 정책은 키 정책에서 권한을 설정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책문이 포함되어 있는 경우, IAM 정책에서 권한을 설정할 수 있습니다.

IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.
교차 계정 사용은 권한 있는 사용자가 다른 AWS 계정의 리소스에 대해 수행할 수 있는 작업을 보여줍니다.

예 값은 보안 주체가 다른 AWS 계정의 리소스에 대해 작업을 수행할 수 있음을 의미합니다.

아니요 값은 보안 주체가 자체 AWS 계정의 리소스에 대해서만 작업을 수행할 수 있음을 의미합니다.

다른 계정의 보안 주체에 교차 계정 리소스에서 사용할 수 없는 권한을 부여하면 사용 권한이 적용되지 않습니다. 예를 들어 다른 계정의 보안 주체에게 사용자 계정의 KMS 키에 대한 TagResource 권한을 부여하는 경우 보안 주체가 사용자 계정의 KMS 키에 태그를 지정하려는 시도는 실패합니다.
리소스에는 권한이 적용되는 AWS KMS 리소스가 나열됩니다. AWS KMS KMS 키와 별칭이라는 두 가지 리소스 유형을 지원합니다. 키 정책에서 Resource 요소의 값은 항상 *이며, 이는 키 정책에 연결된 KMS 키를 나타냅니다.

IAM 정책의 AWS KMS 리소스를 나타내려면 다음 값을 사용하십시오.

KMS 키

리소스가 KMS 키일 때는 키 ARN을 사용합니다. 도움말은 키 ID 및 키 ARN 찾기를 참조하십시오.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

예:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

별칭

리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하십시오.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

예:

arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

*(별표)

권한이 특정 리소스(KMS 키 또는 별칭)에 적용되지 않는 경우 별표(*)를 사용합니다.

권한에 대한 IAM 정책에서 요소의 별표는 모든 리소스 (KMS 키 및 별칭) 를 나타냅니다. AWS KMS Resource AWS KMS AWS KMS 권한이 특정 KMS 키 또는 별칭에 적용되지 않는 경우 Resource 요소에 별표를 사용할 수도 있습니다. 예를 들어 허용 또는 거부 kms:CreateKey 또는 kms:ListKeys 권한을 부여할 때 Resource 요소를 * 또는 계정별 변형(예: arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*)으로 설정할 수 있습니다.
AWS KMS 조건 키에는 작업에 대한 액세스를 제어하는 데 사용할 수 있는 AWS KMS 조건 키가 나열되어 있습니다. 정책의 Condition 요소에 조건을 지정합니다. 자세한 설명은 AWS KMS 조건 키 섹션을 참조하세요. 이 열에는 모든 서비스에서 지원되지만 모든 AWS 서비스에서 AWS KMS지원되지는 않는 AWS 글로벌 조건 키도 포함됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

키 액세스 문제 해결

권한 테스트