AWS KMS 권한 - AWS Key Management Service

AWS KMS 권한

작업 및 리소스 테이블은 키 정책IAM 정책에서 액세스 제어를 정의하는 데 도움이 되도록 설계되었습니다.

참고

테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수 있습니다.

작업 및 권한 정책 유형 교차 계정 사용 리소스(IAM 정책의 경우) AWS KMS 조건 키

CancelKeyDeletion

kms:CancelKeyDeletion

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

CreateAlias

kms:CreateAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:CreateAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM 정책에서)

  • KMS 키 (키 정책에서)

자세한 내용은 별칭에 대한 액세스 제어 단원을 참조하십시오.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책 (KMS 키의 경우)

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

CreateGrant

kms:CreateGrant

키 정책

KMS 키

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

권한 부여 조건:

kms:GrantConstraintType

kms:GranteePrincipal

kms:GrantIsForAWSResource

kms:GrantOperations

kms:RetiringPrincipal

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

CreateKey

kms:CreateKey

IAM 정책

아니요

*

kms:BypassPolicyLockoutSafetyCheck

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:ViaService

aws:RequestTag/tag-key(AWS 전역 조건 키)

aws:ResourceTag/tag-key(AWS 전역 조건 키)

aws:TagKeys(AWS 전역 조건 키)

Decrypt

kms:Decrypt

키 정책

KMS 키

암호화 작업에 대한 조건

kms:EncryptionAlgorithm

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

DeleteAlias

kms:DeleteAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:DeleteAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM 정책에서)

  • KMS 키 (키 정책에서)

자세한 내용은 별칭에 대한 액세스 제어 단원을 참조하십시오.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책 (KMS 키의 경우)

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAM 정책 아니요

*

kms:CallerAccount

DescribeKey

kms:DescribeKey

키 정책

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건:

kms:RequestAlias

DisableKey

kms:DisableKey

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

DisableKeyRotation

kms:DisableKeyRotation

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

EnableKey

kms:EnableKey

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

EnableKeyRotation

kms:EnableKeyRotation

키 정책

아니요

KMS 키(대칭만 해당)

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

Encrypt

kms:Encrypt

키 정책

KMS 키

암호화 작업에 대한 조건

kms:EncryptionAlgorithm

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

GenerateDataKey

kms:GenerateDataKey

키 정책

KMS 키(대칭만 해당)

암호화 작업에 대한 조건

kms:EncryptionAlgorithm

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

키 정책

KMS 키(대칭만 해당)

GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext는 대칭 KMS 키로 보호되는 비대칭 데이터 키 페어를 생성합니다.

데이터 키 페어의 조건:

kms:DataKeyPairSpec

암호화 작업에 대한 조건

kms:EncryptionAlgorithm

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

키 정책

KMS 키(대칭만 해당)

GenerateDataKeyPairGenerateDataKeyPairWithoutPlaintext는 대칭 KMS 키로 보호되는 비대칭 데이터 키 페어를 생성합니다.

데이터 키 페어의 조건:

kms:DataKeyPairSpec

암호화 작업에 대한 조건

kms:EncryptionAlgorithm

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

키 정책

KMS 키(대칭만 해당)

암호화 작업에 대한 조건

kms:EncryptionAlgorithm

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

GenerateRandom

kms:GenerateRandom

IAM 정책

해당 사항 없음

*

None

GetKeyPolicy

kms:GetKeyPolicy

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

키 정책

KMS 키(대칭만 해당)

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

GetParametersForImport

kms:GetParametersForImport

키 정책

아니요

KMS 키(대칭만 해당)

kms:WrappingAlgorithm

kms:WrappingKeySpec

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

GetPublicKey

kms:GetPublicKey

키 정책

KMS 키(비대칭만 해당)

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건:

kms:RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

키 정책

아니요

KMS 키(대칭만 해당)

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건:

kms:ExpirationModel

kms:ValidTo

ListAliases

kms:ListAliases

IAM 정책

아니요

*

None

ListGrants

kms:ListGrants

키 정책

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건:

kms:GrantIsForAWSResource

ListKeyPolicies

kms:ListKeyPolicies

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

ListKeys

kms:ListKeys

IAM 정책

아니요

*

None

ListResourceTags

kms:ListResourceTags

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM 정책

지정된 보안 주체는 로컬 계정에 있어야 하지만 작업은 모든 계정에서 권한을 반환합니다.

*

None

PutKeyPolicy

kms:PutKeyPolicy

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건:

kms:BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

이 연산을 사용하려면 호출자가 두 KMS 키에 대한 권한을 가지고 있어야 합니다.

  • kms:ReEncryptFrom복호화에 사용되는 KMS 키의

  • kms:ReEncryptTo암호화에 사용되는 KMS 키의

키 정책

KMS 키

암호화 작업에 대한 조건

kms:EncryptionAlgorithm

kms:RequestAlias

암호화 컨텍스트 조건:

kms:EncryptionContext:context-key

kms:EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건:

kms:ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

이 작업을 사용하려면 호출자에게 다음 권한이 필요합니다.

  • kms:ReplicateKey다중 리전 기본 키의

  • kms:CreateKey복제본 리전의 IAM 정책에서

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건:

kms:ReplicaRegion

RetireGrant

kms:RetireGrant

권한 부여를 사용 중지할 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 내용은 섹션을 참조하세요권한 부여 사용 중지 및 취소

IAM 정책

(이 권한은 키 정책에서 유효하지 않습니다.)

KMS 키

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

RevokeGrant

kms:RevokeGrant

키 정책

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건:

kms:GrantIsForAWSResource

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

Sign

kms:Sign

키 정책

KMS 키(비대칭만 해당)

서명 및 확인을 위한 조건

kms:MessageType

kms:RequestAlias

kms:SigningAlgorithm

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

TagResource

kms:TagResource

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

태그 지정 조건:

aws:RequestTag/tag-key(AWS 전역 조건 키)

aws:TagKeys(AWS 전역 조건 키)

UntagResource

kms:UntagResource

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

태그 지정 조건:

aws:RequestTag/tag-key(AWS 전역 조건 키)

aws:TagKeys(AWS 전역 조건 키)

UpdateAlias

kms:UpdateAlias

이 연산을 사용하려면 호출자가 세 가지 리소스에 대한 kms:UpdateAlias 권한을 가지고 있어야 합니다.

  • 별칭

  • 현재 연결된 KMS 키

  • 새로 연결된 KMS 키

자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하세요.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(KMS 키의 경우)

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAM 정책 아니요

*

kms:CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

이 작업을 사용하려면 호출자가 다중 리전 기본 키(복제본 키가 됨)와 다중 리전 복제본 키(기본 키가 됨) 모두에서 kms:UpdatePrimaryRegion 권한이 필요합니다.

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

기타 조건

kms:PrimaryRegion

Verify

kms:Verify

키 정책

KMS 키(비대칭만 해당)

서명 및 확인을 위한 조건

kms:MessageType

kms:RequestAlias

kms:SigningAlgorithm

KMS 키 작업에 대한 조건:

kms:CallerAccount

kms:KeySpec

kms:KeyUsage

kms:KeyOrigin

kms:MultiRegion

kms:MultiRegionKeyType

kms:ResourceAliases

aws:ResourceTag/tag-key(AWS 전역 조건 키)

kms:ViaService

이 테이블의 열에는 다음 정보가 표시됩니다.

  • 작업 및 권한에는 각각의 AWS KMS API 작업과 이러한 작업을 허용하는 권한이 나열됩니다. 정책 문의 Action 요소에서 작업을 지정합니다.

  • 정책 유형은 키 정책 또는 IAM 정책에서 권한을 사용할 수 있는지 여부를 나타냅니다.

    키 정책은 키 정책에서 권한을 설정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책문이 포함되어 있는 경우, IAM 정책에서 권한을 설정할 수 있습니다.

    IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.

  • 교차 계정 사용은 권한 있는 사용자가 다른 AWS 계정의 리소스에 대해 수행할 수 있는 작업을 보여줍니다.

    값은 보안 주체가 다른 AWS 계정의 리소스에 대해 작업을 수행할 수 있음을 의미합니다.

    아니요 값은 보안 주체가 자체 AWS 계정의 리소스에 대해서만 작업을 수행할 수 있음을 의미합니다.

    다른 계정의 보안 주체에 교차 계정 리소스에서 사용할 수 없는 권한을 부여하면 사용 권한이 적용되지 않습니다. 예를 들어 다른 계정의 보안 주체가 계정의 KMS 키에 대해 kms:TagResource 권한을 부여하면 계정의 KMS 키에 태그를 지정하려는 시도가 실패합니다.

  • 리소스는 권한이 적용되는 AWS KMS 리소스를 나열합니다. AWS KMS에서는 KMS 키와 별칭이라는 두 가지 리소스 유형을 지원합니다. 키 정책에서 Resource 요소의 값은 항상 *이며, 이는 키 정책에 연결된 KMS 키를 나타냅니다.

    다음 값을 사용하여 IAM 정책의 AWS KMS 리소스를 나타냅니다.

    KMS 키

    리소스가 KMS 키일 때는 키 ARN을 사용합니다. 도움말은 키 ID 및 키 ARN 찾기를 참조하세요.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    예:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    별칭

    리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하세요.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    예:

    arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

    *(별표)

    권한이 특정 리소스(KMS 키 또는 별칭)에 적용되지 않는 경우 별표(*)를 사용합니다.

    AWS KMS 권한에 대한 IAM 정책에서 Resource 요소의 별표는 모든 AWS KMS 리소스(KMS 키 및 별칭)를 나타냅니다. AWS KMS 권한이 특정 KMS 키 또는 별칭에 적용되지 않는 경우에도 Resource 요소에 별표를 사용할 수 있습니다. 예를 들어 허용 또는 거부 kms:CreateKey 또는 kms:ListKeys 권한을 부여할 때 Resource 요소를 * 또는 계정별 변형(예: arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*)으로 설정할 수 있습니다.

  • AWS KMS 조건 키는 연산에 대한 액세스를 제어하는 데 사용할 수 있는 AWS KMS 조건 키를 나열합니다. 정책의 Condition 요소에 조건을 지정합니다. 자세한 내용은 섹션을 참조하세요AWS KMS 조건 키 이 열에는 AWS KMS에서 지원하지만 모든 AWS 서비스에서 지원되지 않는 AWS 전역 조건 키도 포함됩니다.