AWS KMS 권한

작업 및 리소스 테이블은 사용자가 정의하는 데 도움이 되도록 설계되었습니다.액세스 제어in주요 정책및IAM 정책.

참고

테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수 있습니다.

작업 및 권한	정책 유형	교차 계정 사용	리소스 (IAM 정책용)	AWS KMS 조건 키
CancelKeyDeletion `kms:CancelKeyDeletion`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAM 정책	아니요	`*`	kms:CallerAccount
CreateAlias `kms:CreateAlias` 이 연산을 사용하려면 호출자가 두 리소스에 대한 `kms:CreateAlias` 권한을 가지고 있어야 합니다. 별칭(IAM 정책에서) CMK(키 정책에서) 자세한 내용은 단원을 참조하십시오별칭에 대한 액세스 제어	IAM 정책 (별칭의 경우)	아니요	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책(CMK의 경우)	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAM 정책	아니요	`*`	kms:CallerAccount
CreateGrant `kms:CreateGrant`	키 정책	예	CMK	암호화 컨텍스트 kms:EncryptionContext:컨텍스트 키 kms:EncryptionContextKeys 권한 부여의 조건: kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
CreateKey `kms:CreateKey`	IAM 정책	아니요	`*`	kms:BypassPolicyLockoutSafetyCheck kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ViaService 태그 지정 조건: aws:RequestTag/tag-key(AWS(전역 조건 키) aws:ResourceTag/tag-key(AWS(전역 조건 키) aws:TagKeys(AWS(전역 조건 키)
암호화 해제 `kms:Decrypt`	키 정책	예	CMK	암호화 작업에 대한 암호화 조건 kms:EncryptionAlgorithm KMS:요청별칭 암호화 컨텍스트 kms:EncryptionContext:컨텍스트 키 kms:EncryptionContextKeys CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
DeleteAlias `kms:DeleteAlias` 이 연산을 사용하려면 호출자가 두 리소스에 대한 `kms:DeleteAlias` 권한을 가지고 있어야 합니다. 별칭(IAM 정책에서) CMK(키 정책에서) 자세한 내용은 단원을 참조하십시오별칭에 대한 액세스 제어	IAM 정책 (별칭의 경우)	아니요	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책(CMK의 경우)	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAM 정책	아니요	`*`	kms:CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAM 정책	아니요	`*`	kms:CallerAccount
DescribeKey `kms:DescribeKey`	키 정책	예	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건: KMS:요청별칭
DisableKey `kms:DisableKey`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
DisableKeyRotation `kms:DisableKeyRotation`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAM 정책	아니요	`*`	kms:CallerAccount
EnableKey `kms:EnableKey`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
EnableKeyRotation `kms:EnableKeyRotation`	키 정책	아니요	CMK(대칭만 해당)	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
Encrypt `kms:Encrypt`	키 정책	예	CMK	암호화 작업에 대한 암호화 조건 kms:EncryptionAlgorithm KMS:요청별칭 암호화 컨텍스트 kms:EncryptionContext:컨텍스트 키 kms:EncryptionContextKeys CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
GenerateDataKey `kms:GenerateDataKey`	키 정책	예	CMK(대칭만 해당)	암호화 작업에 대한 암호화 조건 kms:EncryptionAlgorithm KMS:요청별칭 암호화 컨텍스트 kms:EncryptionContext:컨텍스트 키 kms:EncryptionContextKeys CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	키 정책	예	CMK(대칭만 해당) `GenerateDataKeyPair` 및 `GenerateDataKeyPairWithoutPlaintext`는 대칭 CMK로 보호되는 비대칭 데이터 키 페어를 생성합니다.	데이터 키 페어의 조건: kms:DataKeyPairSpec 암호화 작업에 대한 암호화 조건 kms:EncryptionAlgorithm KMS:요청별칭 암호화 컨텍스트 kms:EncryptionContext:컨텍스트 키 kms:EncryptionContextKeys CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	키 정책	예	CMK(대칭만 해당) `GenerateDataKeyPair` 및 `GenerateDataKeyPairWithoutPlaintext`는 대칭 CMK로 보호되는 비대칭 데이터 키 페어를 생성합니다.	데이터 키 페어의 조건: kms:DataKeyPairSpec 암호화 작업에 대한 암호화 조건 kms:EncryptionAlgorithm KMS:요청별칭 암호화 컨텍스트 kms:EncryptionContext:컨텍스트 키 kms:EncryptionContextKeys CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	키 정책	예	CMK(대칭만 해당)	암호화 작업에 대한 암호화 조건 kms:EncryptionAlgorithm KMS:요청별칭 암호화 컨텍스트 kms:EncryptionContext:컨텍스트 키 kms:EncryptionContextKeys CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
GenerateRandom `kms:GenerateRandom`	IAM 정책	해당 사항 없음	`*`	없음
GetKeyPolicy `kms:GetKeyPolicy`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	키 정책	예	CMK(대칭만 해당)	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
GetParametersForImport `kms:GetParametersForImport`	키 정책	아니요	CMK(대칭만 해당)	kms:WrappingAlgorithm kms:WrappingKeySpec CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
GetPublicKey `kms:GetPublicKey`	키 정책	예	CMK(비대칭만 해당)	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건: KMS:요청별칭
ImportKeyMaterial `kms:ImportKeyMaterial`	키 정책	아니요	CMK(대칭만 해당)	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건: kms:ExpirationModel kms:ValidTo
ListAliases `kms:ListAliases`	IAM 정책	아니요	`*`	없음
ListGrants `kms:ListGrants`	키 정책	예	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건: kms:GrantIsForAWSResource
ListKeyPolicies `kms:ListKeyPolicies`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
ListKeys `kms:ListKeys`	IAM 정책	아니요	`*`	없음
ListResourceTags `kms:ListResourceTags`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAM 정책	지정된 보안 주체는 로컬 계정에 있어야 하지만 작업은 모든 계정에서 권한을 반환합니다.	`*`	없음
PutKeyPolicy `kms:PutKeyPolicy`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건: kms:BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` 이 연산을 사용하려면 호출자가 두 CMK에 대한 권한을 가지고 있어야 합니다. `kms:ReEncryptFrom`해독에 사용되는 CMK `kms:ReEncryptTo`암호화에 사용되는 CMK	키 정책	예	CMK	암호화 작업에 대한 암호화 조건 kms:EncryptionAlgorithm KMS:요청별칭 암호화 컨텍스트 kms:EncryptionContext:컨텍스트 키 kms:EncryptionContextKeys CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건: kms:ReEncryptOnSameKey
복제 키 `kms:ReplicateKey` 이 연산을 사용하려면 호출자가 다음 권한을 가지고 있어야 합니다. `kms:ReplicateKey`다중 지역 기본 키에서 `kms:CreateKey`복제본 리전의 IAM 정책에서	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건: KMS:복제 영역
RetireGrant `kms:RetireGrant` 권한 부여 사용을 중지하는 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 내용은 보조금 폐기 및 철회 단원을 참조하십시오.	IAM 정책 (이 권한은 키 정책에서 유효하지 않습니다.)	예	CMK	KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키)
RevokeGrant `kms:RevokeGrant`	키 정책	예	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건: kms:GrantIsForAWSResource
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
Sign `kms:Sign`	키 정책	예	CMK(비대칭만 해당)	서명 및 확인 조건: kms:MessageType KMS:요청별칭 kms:SigningAlgorithm CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
TagResource `kms:TagResource`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 태그 지정 조건: aws:RequestTag/tag-key(AWS(전역 조건 키) aws:TagKeys(AWS(전역 조건 키)
UntagResource `kms:UntagResource`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 태그 지정 조건: aws:RequestTag/tag-key(AWS(전역 조건 키) aws:TagKeys(AWS(전역 조건 키)
UpdateAlias `kms:UpdateAlias` 이 연산을 사용하려면 호출자가 세 가지 리소스에 대한 `kms:UpdateAlias` 권한을 가지고 있어야 합니다. 별칭 현재 연결된 CMK 새로 연결된 CMK 자세한 내용은 단원을 참조하십시오별칭에 대한 액세스 제어	IAM 정책 (별칭의 경우)	아니요	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책(CMK의 경우)	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAM 정책	아니요	`*`	kms:CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService
업데이트기본 영역 `kms:UpdatePrimaryRegion` 이 연산을 사용하려면 호출자가`kms:UpdatePrimaryRegion`사용 권한에 대한다중 리전 기본 키복제 키가 될 것이고다중 리전 복제본 키기본 키가 될 것입니다.	키 정책	아니요	CMK	CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService 기타 조건 KMS:주 지역
확인 `kms:Verify`	키 정책	예	CMK(비대칭만 해당)	서명 및 확인 조건: kms:MessageType KMS:요청별칭 kms:SigningAlgorithm CMK 작업 조건: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin KMS:다중 영역 KMS:다중 영역 키 유형 KMS:리소스 별칭 aws:ResourceTag/tag-key(AWS(전역 조건 키) kms:ViaService

이 테이블의 열에는 다음 정보가 제공됩니다.

작업 및 권한각 나열AWS KMSAPI 작업 및 작업을 허용하는 권한에 대해 설명합니다. 에서 작업을 지정할 수 있습니다.Action정책 설명의 요소를 지정합니다.
정책 유형권한을 키 정책이나 IAM 정책에서 사용할 수 있는지 여부를 나타냅니다.

키 정책키 정책에서 권한을 설정할 수 있음을 의미합니다. 키 정책에IAM 정책을 활성화하는 정책 설명를 사용하려면 IAM 정책에서 권한을 설정할 수 있습니다.

IAM 정책는 IAM 정책에서만 권한을 설정할 수 있음을 의미합니다.
교차 계정 사용에는 권한 있는 사용자가 다른AWS계정 및

값예는 보안 주체가 다른 리소스에 대한 작업을 수행할 수 있음을 의미합니다.AWS계정 및

값아니요는 보안 주체가 자체 리소스에 대해서만 작업을 수행할 수 있음을 의미합니다.AWS계정 및

다른 계정의 보안 주체에 교차 계정 리소스에서 사용할 수 없는 권한을 부여하면 사용 권한이 적용되지 않습니다. 예를 들어 다른 계정의 보안 주체를 제공하는 경우KMS:태그 리소스권한이 있는 경우 계정에서 CMK에 태그를 지정하려는 시도가 실패합니다.
리소스는 권한이 적용되는 AWS KMS 리소스를 나열합니다. AWS KMS에서는 고객 마스터 키(CMK)와 별칭이라는 두 가지 리소스 유형을 지원합니다. 키 정책에서 Resource 요소의 값은 항상 *이며, 이는 키 정책에 연결된 CMK를 나타냅니다.

다음 값을 사용하여AWS KMS리소스를 IAM 정책의 정책 내에서 사용할 수 있습니다.

CMK

리소스가 고객 마스터 키(CMK)인 경우, 해당 키 ARN을 사용합니다. 도움말은 키 ID 및 ARN 찾기를 참조하십시오.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

다음 예를 참조하십시오.

arn:aws:kms:us-west- 2:1111222333:key/1234abcd-34cd-34cd-3456ef-1234567890abcd-1234567890ab

별칭

리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하십시오.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

다음 예를 참조하십시오.

arn:aws:kms:us-west- 2:111122223333:alias/ExampleAlias

*(별표)

권한이 특정 리소스(CMK 또는 별칭)에 적용되지 않는 경우 별표(*)를 사용합니다.

AWS KMS 권한에 대한 IAM 정책에서 Resource 요소의 별표는 모든 AWS KMS 리소스(CMK 및 별칭)를 나타냅니다. AWS KMS 권한이 특정 CMK 또는 별칭에 적용되지 않는 경우에도 Resource 요소에 별표를 사용할 수 있습니다. 예를 들어 허용 또는 거부 kms:CreateKey 또는 kms:ListKeys 권한을 부여할 때 Resource 요소를 * 또는 계정별 변형(예: arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*)으로 설정할 수 있습니다.
AWS KMS 조건 키는 연산에 대한 액세스를 제어하는 데 사용할 수 있는 AWS KMS 조건 키를 나열합니다. 정책의 Condition 요소에 조건을 지정합니다. 자세한 내용은 AWS KMS 조건 키 단원을 참조하십시오. 이 열에는AWS전역 조건 키에 의해 지원되는AWS KMS, 하지만 전부는 아닙니다AWS서비스.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

CMK에 대한 교차 계정 액세스 허용

정책 조건 사용