AWS KMS 권한 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS 권한

이 표는 AWS KMS 리소스에 대한 액세스를 제어할 수 있도록 AWS KMS 권한을 이해하는 데 도움이 되도록 설계되었습니다. 열 머리글의 정의가 테이블 아래에 나와 있습니다.

서비스 승인 참조 의 주제에 대한 작업, 리소스 및 조건 키에서 AWS KMS 권한에 대해 알아볼 수도 있습니다. AWS Key Management Service 그러나 각 권한을 세부적으로 설정할 때 사용할 수 있는 모든 조건 키가 해당 주제에 나열되어 있지는 않습니다.

대칭 암호화 KMS 키, 비대칭 키 및 KMS 키에 유효한 AWS KMS 작업에 대한 자세한 내용은 섹션을 HMAC KMS 참조하세요키 유형 참조.

참고

테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수 있습니다.

작업 및 권한 정책 유형 교차 계정 사용 리소스(IAM정책용) AWS KMS 조건 키

CancelKeyDeletion

kms:CancelKeyDeletion

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAM 정책 아니요

*

km:CallerAccount

CreateAlias

kms:CreateAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:CreateAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM정책에서)

  • KMS 키(키 정책에서)

세부 정보는 별칭에 대한 액세스 제어을 참조하세요.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(KMS키용)

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAM 정책 아니요

*

km:CallerAccount

CreateGrant

kms:CreateGrant

키 정책

KMS 키

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

권한 부여 조건:

km:GrantConstraintType

km:GranteePrincipal

km:GrantIsForAWSResource

km:GrantOperations

km:RetiringPrincipal

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

CreateKey

kms:CreateKey

IAM 정책

아니요

*

km:BypassPolicyLockoutSafetyCheck

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ViaService

aws:RequestTag/tag-key(AWS 글로벌 조건 키)

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

aws:TagKeys (AWS 글로벌 조건 키)

Decrypt

kms:Decrypt

키 정책

KMS 키

암호화 작업에 대한 조건

km:EncryptionAlgorithm

km:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

DeleteAlias

kms:DeleteAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:DeleteAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM정책에서)

  • KMS 키(키 정책에서)

세부 정보는 별칭에 대한 액세스 제어을 참조하세요.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(KMS키용)

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAM 정책 아니요

*

km:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

DedriveSharedSecret

kms:DeriveSharedSecret

키 정책 KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

암호화 작업에 대한 조건:

km:KeyAgreementAlgorithm

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAM 정책 아니요

*

km:CallerAccount

DescribeKey

kms:DescribeKey

키 정책

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건:

km:RequestAlias

DisableKey

kms:DisableKey

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

DisableKeyRotation

kms:DisableKeyRotation

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAM 정책 아니요

*

km:CallerAccount

EnableKey

kms:EnableKey

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

EnableKeyRotation

kms:EnableKeyRotation

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

자동 키 교체 조건:

km:RotationPeriodInDays

암호화

kms:Encrypt

키 정책

KMS 키

암호화 작업에 대한 조건

km:EncryptionAlgorithm

km:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

GenerateDataKey

kms:GenerateDataKey

키 정책

KMS 키

암호화 작업에 대한 조건

km:EncryptionAlgorithm

km:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

키 정책

KMS 키

대칭 암호화 키로 보호되는 비대칭 데이터 KMS 키 페어를 생성합니다.

데이터 키 페어의 조건:

km:DataKeyPairSpec

암호화 작업에 대한 조건

km:EncryptionAlgorithm

km:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

키 정책

KMS 키

대칭 암호화 키로 보호되는 비대칭 데이터 KMS 키 페어를 생성합니다.

데이터 키 페어의 조건:

km:DataKeyPairSpec

암호화 작업에 대한 조건

km:EncryptionAlgorithm

km:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

키 정책

KMS 키

암호화 작업에 대한 조건

km:EncryptionAlgorithm

km:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

GenerateMac

kms:GenerateMac

키 정책 KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

암호화 작업에 대한 조건:

km:MacAlgorithm

km:RequestAlias

GenerateRandom

kms:GenerateRandom

IAM 정책

N/A

*

None

GetKeyPolicy

kms:GetKeyPolicy

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

키 정책

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

GetParametersForImport

kms:GetParametersForImport

키 정책

아니요

KMS 키

km:WrappingAlgorithm

km:WrappingKeySpec

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

GetPublicKey

kms:GetPublicKey

키 정책

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건:

km:RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건:

km:ExpirationModel

km:ValidTo

ListAliases

kms:ListAliases

IAM 정책

아니요

*

None

ListGrants

kms:ListGrants

키 정책

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건:

km:GrantIsForAWSResource

ListKeyPolicies

kms:ListKeyPolicies

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

ListKeyRotations

kms:ListKeyRotations

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

ListKeys

kms:ListKeys

IAM 정책

아니요

*

None

ListResourceTags

kms:ListResourceTags

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM 정책

지정된 보안 주체는 로컬 계정에 있어야 하지만 작업은 모든 계정에서 권한을 반환합니다.

*

None

PutKeyPolicy

kms:PutKeyPolicy

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건:

km:BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

이 작업을 사용하려면 호출자에게 두 개의 KMS 키에 대한 권한이 필요합니다.

  • kms:ReEncryptFrom 복호화에 사용되는 KMS 키의

  • kms:ReEncryptTo 암호화에 사용되는 KMS 키의

키 정책

KMS 키

암호화 작업에 대한 조건

km:EncryptionAlgorithm

km:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건:

km:ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

이 작업을 사용하려면 호출자에게 다음 권한이 필요합니다.

  • 다중 리전 기본 키의 kms:ReplicateKey

  • kms:CreateKey 복제본 리전의 IAM 정책

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건:

km:ReplicaRegion

RetireGrant

kms:RetireGrant

권한 부여를 사용 중지할 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 내용은 권한 부여 사용 중지 및 취소 단원을 참조하십시오.

IAM 정책

(이 권한은 키 정책에서 유효하지 않습니다.)

KMS 키

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

km:EncryptionContextKeys

권한 부여 조건:

km:GrantConstraintType

KMS 키 작업 조건:

km:CallerAccount

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

RevokeGrant

kms:RevokeGrant

키 정책

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건:

km:GrantIsForAWSResource

RotateKeyOnDemand

kms:RotateKeyOnDemand

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

Sign

kms:Sign

키 정책

KMS 키

서명 및 확인을 위한 조건:

km:MessageType

km:RequestAlias

km:SigningAlgorithm

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

TagResource

kms:TagResource

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

태그 지정 조건:

aws:RequestTag/tag-key(AWS 글로벌 조건 키)

aws:TagKeys (AWS 글로벌 조건 키)

UntagResource

kms:UntagResource

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

태그 지정 조건:

aws:RequestTag/tag-key(AWS 글로벌 조건 키)

aws:TagKeys (AWS 글로벌 조건 키)

UpdateAlias

kms:UpdateAlias

이 연산을 사용하려면 호출자가 세 가지 리소스에 대한 kms:UpdateAlias 권한을 가지고 있어야 합니다.

  • 별칭

  • 현재 연결된 KMS 키

  • 새로 연결된 KMS 키

세부 정보는 별칭에 대한 액세스 제어을 참조하세요.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(KMS키용)

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAM 정책 아니요

*

km:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

이 작업을 사용하려면 호출자가 다중 리전 기본 키(복제본 키가 됨)와 다중 리전 복제본 키(기본 키가 됨) 모두에서 kms:UpdatePrimaryRegion 권한이 필요합니다.

키 정책

아니요

KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

기타 조건

km:PrimaryRegion

Verify

kms:Verify

키 정책

KMS 키

서명 및 확인을 위한 조건:

km:MessageType

km:RequestAlias

km:SigningAlgorithm

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

VerifyMac

kms:VerifyMac

키 정책 KMS 키

KMS 키 작업 조건:

km:CallerAccount

km:KeySpec

km:KeyUsage

km:KeyOrigin

km:MultiRegion

km:MultiRegionKeyType

km:ResourceAliases

aws:ResourceTag/tag-key(AWS 글로벌 조건 키)

km:ViaService

암호화 작업에 대한 조건:

km:MacAlgorithm

km:RequestAlias

열 설명

이 테이블의 열에는 다음 정보가 표시됩니다.

  • 작업 및 권한에는 각 AWS KMS API 작업과 작업을 허용하는 권한이 나열됩니다. 정책 문의 Action 요소에서 작업을 지정합니다.

  • 정책 유형은 권한을 키 정책 또는 IAM 정책에 사용할 수 있는지 여부를 나타냅니다.

    키 정책은 키 정책에서 권한을 설정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책 문이 포함된 경우 정책에서 권한을 지정할 IAM 수 있습니다. IAM

    IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.

  • 교차 계정 사용은 권한 있는 사용자가 다른 AWS 계정의 리소스에 대해 수행할 수 있는 작업을 보여줍니다.

    값은 보안 주체가 다른 AWS 계정의 리소스에 대해 작업을 수행할 수 있음을 의미합니다.

    아니요 값은 보안 주체가 자체 AWS 계정의 리소스에 대해서만 작업을 수행할 수 있음을 의미합니다.

    다른 계정의 보안 주체에 교차 계정 리소스에서 사용할 수 없는 권한을 부여하면 사용 권한이 적용되지 않습니다. 예를 들어 다른 계정 kmsTagResource의 보안 주체에게 계정의 KMS 키에 대한 권한을 부여하면 계정의 KMS 키에 태그를 지정하려는 보안 주체의 시도가 실패합니다.

  • 리소스에는 권한이 적용되는 AWS KMS 리소스가 나열됩니다. 는 KMS 키와 별칭이라는 두 가지 리소스 유형을 AWS KMS 지원합니다. 키 정책에서 Resource 요소의 값은 항상 이며*, 이는 키 정책이 연결된 KMS 키를 나타냅니다.

    다음 값을 사용하여 IAM 정책의 AWS KMS 리소스를 나타냅니다.

    KMS 키

    리소스가 KMS 키인 경우 해당 키 ARN를 사용합니다. 도움말은 키 ID 및 키 ARN 찾기를 참조하십시오.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    예:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    별칭

    리소스가 별칭인 경우 해당 별칭ARN을 사용합니다. 도움말은 KMS 키의 별칭 이름 및 ARN 별칭 찾기를 참조하십시오.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    예:

    arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

    *(별표)

    권한이 특정 리소스(KMS키 또는 별칭)에 적용되지 않는 경우 별표()를 사용합니다*.

    AWS KMS 권한 IAM 정책에서 Resource 요소의 별표는 모든 AWS KMS 리소스(KMS키 및 별칭)를 나타냅니다. 권한이 특정 KMS 키 또는 별칭에 적용되지 AWS KMS 않는 경우에도 Resource 요소에 별표를 사용할 수 있습니다. 예를 들어, kms:CreateKey 또는 kms:ListKeys 권한을 허용 또는 거부하는 경우 Resource 요소를 로 설정해야 합니다*.

  • AWS KMS 조건 키에는 작업에 대한 액세스를 제어하는 데 사용할 수 있는 AWS KMS 조건 키가 나열됩니다. 정책의 Condition 요소에 조건을 지정합니다. 자세한 내용은 AWS KMS 조건 키 단원을 참조하십시오. 이 열에는 모든 AWS 서비스가 AWS KMS아닌 에서 지원하는 AWS 전역 조건 키도 포함되어 있습니다.