AWS KMS 권한 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS 권한

권한 표AWS KMS에는 각 작업에 대한 권한이 나열되어 있으므로 AWS KMS키 정책 정책IAM에서 올바르게 사용할 수 있습니다.

중요

보안 주체에게 고객 마스터 키(CMKs)에 대한 액세스를 제어하는 정책 및 권한의 생성 및 관리 권한을 부여할 때는 주의해야 합니다. 태그와 별칭을 관리할 권한이 있는 보안 주체도 CMK에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 에 ABAC 사용AWS KMS을(를) 참조하십시오.

참고

이 표의 모든 데이터를 보려면 가로 및 세로로 스크롤해야 할 수 있습니다.

작업 및 권한 정책 유형 리소스(IAM 정책용) AWS KMS 조건 키

CancelKeyDeletion

kms:CancelKeyDeletion

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAM 정책

*

kms:CallerAccount

CreateAlias

kms:CreateAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:CreateAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM 정책에서)

  • (키 정책에서)CMK

자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오.

IAM 정책(별칭의 경우)

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(CMK의 경우)

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAM 정책

*

kms:CallerAccount

CreateGrant

kms:CreateGrant

키 정책

CMK

암호화 컨텍스트 조건:

kms:EncryptionContext:

kms:EncryptionContextKeys

권한 부여 조건:

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

CreateKey

kms:CreateKey

IAM 정책

*

kms:BypassPolicyLockoutSafetyCheck

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

aws:RequestTag(AWS 전역 조건 키)

암호화 해제

kms:Decrypt

키 정책

CMK

암호화 작업에 대한 조건

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

DeleteAlias

kms:DeleteAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:DeleteAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM 정책에서)

  • (키 정책에서)CMK

자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오.

IAM 정책(별칭의 경우)

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(CMK의 경우)

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAM 정책

*

kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAM 정책

*

kms:CallerAccount

DescribeKey

kms:DescribeKey

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

기타 조건:

kms:RequestAlias

DisableKey

kms:DisableKey

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAM 정책

*

kms:CallerAccount

EnableKey

kms:EnableKey

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

키 정책

CMK(대칭만 해당)

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

Encrypt

kms:Encrypt

키 정책

CMK

암호화 작업에 대한 조건

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

키 정책

CMK(대칭만 해당)

암호화 작업에 대한 조건

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

키 정책

CMK(대칭만 해당)

GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext는 대칭 CMK로 보호되는 비대칭 데이터 키 페어를 생성합니다.

데이터 키 페어의 조건:

kms:DataKeyPairSpec

암호화 작업에 대한 조건

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

키 정책

CMK(대칭만 해당)

GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext는 대칭 CMK로 보호되는 비대칭 데이터 키 페어를 생성합니다.

데이터 키 페어의 조건:

kms:DataKeyPairSpec

암호화 작업에 대한 조건

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

키 정책

CMK(대칭만 해당)

암호화 작업에 대한 조건

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

GenerateRandom

kms:GenerateRandom

IAM 정책

*

없음

GetKeyPolicy

kms:GetKeyPolicy

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

키 정책

CMK(대칭만 해당)

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

키 정책

CMK(대칭만 해당)

kms:WrappingAlgorithm

kms:WrappingKeySpec

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

GetPublicKey

kms:GetPublicKey

키 정책

CMK(비대칭만 해당)

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

기타 조건:

kms:RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

키 정책

CMK(대칭만 해당)

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

기타 조건:

kms:ExpirationModel

kms:ValidTo

ListAliases

kms:ListAliases

IAM 정책

*

없음

ListGrants

kms:ListGrants

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

기타 조건:

kms:GrantIsForAWSResource

ListKeyPolicies

kms:ListKeyPolicies

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

ListKeys

kms:ListKeys

IAM 정책

*

없음

ListResourceTags

kms:ListResourceTags

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM 정책

*

없음

PutKeyPolicy

kms:PutKeyPolicy

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

기타 조건:

kms:BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

이 작업을 사용하려면 호출자가 두 개의 CMKs에 대한 권한을 가지고 있어야 합니다.

  • kms:ReEncryptFromCMK

  • 암호화에 사용되는 kms:ReEncryptTo의 CMK

키 정책

CMK

암호화 작업에 대한 조건

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionAlgorithm

kms:EncryptionContext:

kms:EncryptionContextKeys

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

기타 조건:

kms:ReEncryptOnSameKey

RetireGrant

kms:RetireGrant

권한 부여의 사용을 중지할 수 있는 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 내용은 권한 부여 만료 및 취소 단원을 참조하십시오.

키 정책

CMK

kms:ResourceAliases

aws:ResourceTag(AWS 전역 조건 키)

RevokeGrant

kms:RevokeGrant

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

기타 조건:

kms:GrantIsForAWSResource

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

Sign

kms:Sign

키 정책

CMK(비대칭만 해당)

서명 및 확인을 위한 조건:

kms:MessageType

kms:SigningAlgorithm

암호화 작업에 대한 조건

kms:RequestAlias

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

TagResource

kms:TagResource

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

태그 지정 조건:

aws:RequestTag(AWS 전역 조건 키)

aws:TagKeys(AWS 전역 조건 키)

UntagResource

kms:UntagResource

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

태그 지정 조건:

aws:RequestTag(AWS 전역 조건 키)

aws:TagKeys(AWS 전역 조건 키)

UpdateAlias

kms:UpdateAlias

이 연산을 사용하려면 호출자가 세 가지 리소스에 대한 kms:UpdateAlias 권한을 가지고 있어야 합니다.

  • 별칭

  • 현재 연결된 CMK

  • 새로 연결된 CMK

자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오.

IAM 정책(별칭의 경우)

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(CMKs의 경우)

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAM 정책

*

kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

키 정책

CMK

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

확인

kms:Verify

키 정책

CMK(비대칭만 해당)

서명 및 확인을 위한 조건:

kms:MessageType

kms:SigningAlgorithm

암호화 작업에 대한 조건

kms:RequestAlias

Conditions for CMK operations:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ResourceAliases

aws:ResourceTag (AWS global condition key)

kms:ViaService

이 표의 열은 다음 정보를 제공합니다.

  • 작업 및 권한에는 각 AWS KMS API 작업과 해당 작업을 허용하는 권한이 나열되어 있습니다. 정책 설명의 Action 요소에서 작업을 지정합니다.

  • 정책 유형은 키 정책 또는 IAM 정책에서 권한을 사용할 수 있는지 여부를 나타냅니다.

    키 정책은 키 정책에서 권한을 지정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책 설명IAM이 포함되어 있으면 정책에서 권한을 지정할 수 있습니다.IAM

    IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.

  • 리소스는 권한이 적용되는 리소스를 나열합니다. AWS KMS는 AWS KMS(고객 마스터 키) 및 별칭이라는 두 가지 리소스 유형을 지원합니다.CMK 키 정책에서 Resource 요소의 값은 항상 *이며, 이는 키 정책이 연결된 CMK를 나타냅니다.

    다음 값을 사용하여 IAM 정책의 AWS KMS 리소스를 나타냅니다.

    CMK

    리소스가 고객 마스터 키(CMK)인 경우 키 ARN을 사용합니다. 도움말은 키 ID 및 ARN 찾기를 참조하십시오.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    예:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    별칭

    리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하십시오.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    예:

    arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

    *(별표)

    권한이 특정 리소스(CMK 또는 별칭)에 적용되지 않는 경우 별표(*)를 사용합니다.

    권한에 대한 IAM 정책에서 AWS KMS 요소의 별표는 모든 Resource 리소스(AWS KMS 및 별칭)를 나타냅니다.CMKs 권한이 특정 Resource 또는 별칭에 적용되지 않는 경우에도 AWS KMS 요소에 별표를 사용할 수 있습니다.CMKs 예를 들어 허용 또는 거부 kms:CreateKey 또는 kms:ListKeys 권한을 부여할 때 Resource 요소를 * 또는 계정별 변형(예: arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*)으로 설정할 수 있습니다.

  • AWS KMS 조건 키는 권한을 제한하는 데 사용할 수 있는 AWS KMS 조건 키를 나열합니다. 정책의 Condition 요소에 조건을 지정합니다. 이 열에는 모든 서비스가 아니라 AWS에서 지원되는 AWS KMS 전역 조건 키AWS도 포함됩니다.