AWS KMS 권한 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS 권한

작업 및 리소스 테이블은 사용자가 정의하는 데 도움이 되도록 설계되었습니다.액세스 제어in주요 정책IAM 정책.

참고

테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수 있습니다.

작업 및 권한 정책 유형 교차 계정 사용 리소스 (IAM 정책용) AWS KMS 조건 키

CancelKeyDeletion

kms:CancelKeyDeletion

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

CreateAlias

kms:CreateAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:CreateAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM 정책에서)

  • CMK(키 정책에서)

자세한 내용은 단원을 참조하십시오별칭에 대한 액세스 제어

IAM 정책 (별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(CMK의 경우)

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

CreateGrant

kms:CreateGrant

키 정책

CMK

암호화 컨텍스트

kms:EncryptionContext:컨텍스트 키

kms:EncryptionContextKeys

권한 부여의 조건:

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

CreateKey

kms:CreateKey

IAM 정책

아니요

*

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

kms:ViaService

태그 지정 조건:

aws:RequestTag/tag-key(AWS(전역 조건 키)

aws:ResourceTag/tag-key(AWS(전역 조건 키)

aws:TagKeys(AWS(전역 조건 키)

암호화 해제

kms:Decrypt

키 정책

CMK

암호화 작업에 대한 암호화 조건

kms:EncryptionAlgorithm

KMS:요청별칭

암호화 컨텍스트

kms:EncryptionContext:컨텍스트 키

kms:EncryptionContextKeys

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

DeleteAlias

kms:DeleteAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:DeleteAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM 정책에서)

  • CMK(키 정책에서)

자세한 내용은 단원을 참조하십시오별칭에 대한 액세스 제어

IAM 정책 (별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(CMK의 경우)

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAM 정책 아니요

*

kms:CallerAccount

DescribeKey

kms:DescribeKey

키 정책

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건:

KMS:요청별칭

DisableKey

kms:DisableKey

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

EnableKey

kms:EnableKey

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

키 정책

아니요

CMK(대칭만 해당)

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

Encrypt

kms:Encrypt

키 정책

CMK

암호화 작업에 대한 암호화 조건

kms:EncryptionAlgorithm

KMS:요청별칭

암호화 컨텍스트

kms:EncryptionContext:컨텍스트 키

kms:EncryptionContextKeys

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

키 정책

CMK(대칭만 해당)

암호화 작업에 대한 암호화 조건

kms:EncryptionAlgorithm

KMS:요청별칭

암호화 컨텍스트

kms:EncryptionContext:컨텍스트 키

kms:EncryptionContextKeys

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

키 정책

CMK(대칭만 해당)

GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext는 대칭 CMK로 보호되는 비대칭 데이터 키 페어를 생성합니다.

데이터 키 페어의 조건:

kms:DataKeyPairSpec

암호화 작업에 대한 암호화 조건

kms:EncryptionAlgorithm

KMS:요청별칭

암호화 컨텍스트

kms:EncryptionContext:컨텍스트 키

kms:EncryptionContextKeys

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

키 정책

CMK(대칭만 해당)

GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext는 대칭 CMK로 보호되는 비대칭 데이터 키 페어를 생성합니다.

데이터 키 페어의 조건:

kms:DataKeyPairSpec

암호화 작업에 대한 암호화 조건

kms:EncryptionAlgorithm

KMS:요청별칭

암호화 컨텍스트

kms:EncryptionContext:컨텍스트 키

kms:EncryptionContextKeys

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

키 정책

CMK(대칭만 해당)

암호화 작업에 대한 암호화 조건

kms:EncryptionAlgorithm

KMS:요청별칭

암호화 컨텍스트

kms:EncryptionContext:컨텍스트 키

kms:EncryptionContextKeys

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

GenerateRandom

kms:GenerateRandom

IAM 정책

해당 사항 없음

*

없음

GetKeyPolicy

kms:GetKeyPolicy

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

키 정책

CMK(대칭만 해당)

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

키 정책

아니요

CMK(대칭만 해당)

kms:WrappingAlgorithm

kms:WrappingKeySpec

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

GetPublicKey

kms:GetPublicKey

키 정책

CMK(비대칭만 해당)

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건:

KMS:요청별칭

ImportKeyMaterial

kms:ImportKeyMaterial

키 정책

아니요

CMK(대칭만 해당)

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건:

kms:ExpirationModel

kms:ValidTo

ListAliases

kms:ListAliases

IAM 정책

아니요

*

없음

ListGrants

kms:ListGrants

키 정책

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건:

kms:GrantIsForAWSResource

ListKeyPolicies

kms:ListKeyPolicies

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

ListKeys

kms:ListKeys

IAM 정책

아니요

*

없음

ListResourceTags

kms:ListResourceTags

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM 정책

지정된 보안 주체는 로컬 계정에 있어야 하지만 작업은 모든 계정에서 권한을 반환합니다.

*

없음

PutKeyPolicy

kms:PutKeyPolicy

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건:

kms:BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

이 연산을 사용하려면 호출자가 두 CMK에 대한 권한을 가지고 있어야 합니다.

  • kms:ReEncryptFrom해독에 사용되는 CMK

  • kms:ReEncryptTo암호화에 사용되는 CMK

키 정책

CMK

암호화 작업에 대한 암호화 조건

kms:EncryptionAlgorithm

KMS:요청별칭

암호화 컨텍스트

kms:EncryptionContext:컨텍스트 키

kms:EncryptionContextKeys

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건:

kms:ReEncryptOnSameKey

복제 키

kms:ReplicateKey

이 연산을 사용하려면 호출자가 다음 권한을 가지고 있어야 합니다.

  • kms:ReplicateKey다중 지역 기본 키에서

  • kms:CreateKey복제본 리전의 IAM 정책에서

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건:

KMS:복제 영역

RetireGrant

kms:RetireGrant

권한 부여 사용을 중지하는 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 내용은 보조금 폐기 및 철회 단원을 참조하십시오.

IAM 정책

(이 권한은 키 정책에서 유효하지 않습니다.)

CMK

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

RevokeGrant

kms:RevokeGrant

키 정책

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건:

kms:GrantIsForAWSResource

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

Sign

kms:Sign

키 정책

CMK(비대칭만 해당)

서명 및 확인 조건:

kms:MessageType

KMS:요청별칭

kms:SigningAlgorithm

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

TagResource

kms:TagResource

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

태그 지정 조건:

aws:RequestTag/tag-key(AWS(전역 조건 키)

aws:TagKeys(AWS(전역 조건 키)

UntagResource

kms:UntagResource

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

태그 지정 조건:

aws:RequestTag/tag-key(AWS(전역 조건 키)

aws:TagKeys(AWS(전역 조건 키)

UpdateAlias

kms:UpdateAlias

이 연산을 사용하려면 호출자가 세 가지 리소스에 대한 kms:UpdateAlias 권한을 가지고 있어야 합니다.

  • 별칭

  • 현재 연결된 CMK

  • 새로 연결된 CMK

자세한 내용은 단원을 참조하십시오별칭에 대한 액세스 제어

IAM 정책 (별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(CMK의 경우)

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

업데이트기본 영역

kms:UpdatePrimaryRegion

이 연산을 사용하려면 호출자가kms:UpdatePrimaryRegion사용 권한에 대한다중 리전 기본 키복제 키가 될 것이고다중 리전 복제본 키기본 키가 될 것입니다.

키 정책

아니요

CMK

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

기타 조건

KMS:주 지역

확인

kms:Verify

키 정책

CMK(비대칭만 해당)

서명 및 확인 조건:

kms:MessageType

KMS:요청별칭

kms:SigningAlgorithm

CMK 작업 조건:

kms:CallerAccount

kms:CustomerMasterKeySpec

kms:CustomerMasterKeyUsage

kms:KeyOrigin

KMS:다중 영역

KMS:다중 영역 키 유형

KMS:리소스 별칭

aws:ResourceTag/tag-key(AWS(전역 조건 키)

kms:ViaService

이 테이블의 열에는 다음 정보가 제공됩니다.

  • 작업 및 권한각 나열AWS KMSAPI 작업 및 작업을 허용하는 권한에 대해 설명합니다. 에서 작업을 지정할 수 있습니다.Action정책 설명의 요소를 지정합니다.

  • 정책 유형권한을 키 정책이나 IAM 정책에서 사용할 수 있는지 여부를 나타냅니다.

    키 정책키 정책에서 권한을 설정할 수 있음을 의미합니다. 키 정책에IAM 정책을 활성화하는 정책 설명를 사용하려면 IAM 정책에서 권한을 설정할 수 있습니다.

    IAM 정책는 IAM 정책에서만 권한을 설정할 수 있음을 의미합니다.

  • 교차 계정 사용에는 권한 있는 사용자가 다른AWS계정 및

    는 보안 주체가 다른 리소스에 대한 작업을 수행할 수 있음을 의미합니다.AWS계정 및

    아니요는 보안 주체가 자체 리소스에 대해서만 작업을 수행할 수 있음을 의미합니다.AWS계정 및

    다른 계정의 보안 주체에 교차 계정 리소스에서 사용할 수 없는 권한을 부여하면 사용 권한이 적용되지 않습니다. 예를 들어 다른 계정의 보안 주체를 제공하는 경우KMS:태그 리소스권한이 있는 경우 계정에서 CMK에 태그를 지정하려는 시도가 실패합니다.

  • 리소스는 권한이 적용되는 AWS KMS 리소스를 나열합니다. AWS KMS에서는 고객 마스터 키(CMK)와 별칭이라는 두 가지 리소스 유형을 지원합니다. 키 정책에서 Resource 요소의 값은 항상 *이며, 이는 키 정책에 연결된 CMK를 나타냅니다.

    다음 값을 사용하여AWS KMS리소스를 IAM 정책의 정책 내에서 사용할 수 있습니다.

    CMK

    리소스가 고객 마스터 키(CMK)인 경우, 해당 키 ARN을 사용합니다. 도움말은 키 ID 및 ARN 찾기를 참조하십시오.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    다음 예를 참조하십시오.

    arn:aws:kms:us-west- 2:1111222333:key/1234abcd-34cd-34cd-3456ef-1234567890abcd-1234567890ab

    별칭

    리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하십시오.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    다음 예를 참조하십시오.

    arn:aws:kms:us-west- 2:111122223333:alias/ExampleAlias

    *(별표)

    권한이 특정 리소스(CMK 또는 별칭)에 적용되지 않는 경우 별표(*)를 사용합니다.

    AWS KMS 권한에 대한 IAM 정책에서 Resource 요소의 별표는 모든 AWS KMS 리소스(CMK 및 별칭)를 나타냅니다. AWS KMS 권한이 특정 CMK 또는 별칭에 적용되지 않는 경우에도 Resource 요소에 별표를 사용할 수 있습니다. 예를 들어 허용 또는 거부 kms:CreateKey 또는 kms:ListKeys 권한을 부여할 때 Resource 요소를 * 또는 계정별 변형(예: arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*)으로 설정할 수 있습니다.

  • AWS KMS 조건 키는 연산에 대한 액세스를 제어하는 데 사용할 수 있는 AWS KMS 조건 키를 나열합니다. 정책의 Condition 요소에 조건을 지정합니다. 자세한 내용은 AWS KMS 조건 키 단원을 참조하십시오. 이 열에는AWS전역 조건 키에 의해 지원되는AWS KMS, 하지만 전부는 아닙니다AWS서비스.