기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS KMS 권한
권한 표AWS KMS에는 각 작업에 대한 권한이 나열되어 있으므로 AWS KMS키 정책 및 정책IAM에서 올바르게 사용할 수 있습니다.
보안 주체에게 고객 마스터 키(CMKs)에 대한 액세스를 제어하는 정책 및 권한의 생성 및 관리 권한을 부여할 때는 주의해야 합니다. 태그와 별칭을 관리할 권한이 있는 보안 주체도 CMK에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 에 ABAC 사용AWS KMS을(를) 참조하십시오.
이 표의 모든 데이터를 보려면 가로 및 세로로 스크롤해야 할 수 있습니다.
작업 및 권한 | 정책 유형 | 리소스(IAM 정책용) | AWS KMS 조건 키 |
---|---|---|---|
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
ConnectCustomKeyStore
|
IAM 정책 |
|
|
이 연산을 사용하려면 호출자가 두 리소스에 대한
자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오. |
IAM 정책(별칭의 경우) |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책(CMK의 경우) |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
CreateCustomKeyStore
|
IAM 정책 |
|
|
|
키 정책 |
CMK |
암호화 컨텍스트 조건: 권한 부여 조건: Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
IAM 정책 |
|
kms:BypassPolicyLockoutSafetyCheck aws:RequestTag(AWS 전역 조건 키) |
|
키 정책 |
CMK |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
이 연산을 사용하려면 호출자가 두 리소스에 대한
자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오. |
IAM 정책(별칭의 경우) |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책(CMK의 경우) |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
DeleteCustomKeyStore
|
IAM 정책 |
|
|
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
DescribeCustomKeyStores
|
IAM 정책 |
|
|
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 기타 조건: |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
DisconnectCustomKeyStore
|
IAM 정책 |
|
|
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK(대칭만 해당) |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK(대칭만 해당) |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK(대칭만 해당)
|
데이터 키 페어의 조건: 암호화 작업에 대한 조건 암호화 컨텍스트 조건: Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
GenerateDataKeyPairWithoutPlaintext
|
키 정책 |
CMK(대칭만 해당)
|
데이터 키 페어의 조건: 암호화 작업에 대한 조건 암호화 컨텍스트 조건: Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
GenerateDataKeyWithoutPlaintext
|
키 정책 |
CMK(대칭만 해당) |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
IAM 정책 |
|
없음 |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK(대칭만 해당) |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK(대칭만 해당) |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK(비대칭만 해당) |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 기타 조건: |
|
키 정책 |
CMK(대칭만 해당) |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 기타 조건: kms:ExpirationModel |
|
IAM 정책 |
|
없음 |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 기타 조건: |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
IAM 정책 |
|
없음 |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
IAM 정책 |
|
없음 |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 기타 조건: |
이 작업을 사용하려면 호출자가 두 개의 CMKs에 대한 권한을 가지고 있어야 합니다.
|
키 정책 |
CMK |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 기타 조건: |
권한 부여의 사용을 중지할 수 있는 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 내용은 권한 부여 만료 및 취소 단원을 참조하십시오. |
키 정책 |
CMK |
aws:ResourceTag(AWS 전역 조건 키) |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 기타 조건: |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK(비대칭만 해당) |
서명 및 확인을 위한 조건: 암호화 작업에 대한 조건 Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 태그 지정 조건: aws:RequestTag(AWS 전역 조건 키) aws:TagKeys(AWS 전역 조건 키) |
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) 태그 지정 조건: aws:RequestTag(AWS 전역 조건 키) aws:TagKeys(AWS 전역 조건 키) |
이 연산을 사용하려면 호출자가 세 가지 리소스에 대한
자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오. |
IAM 정책(별칭의 경우) |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책(CMKs의 경우) |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
UpdateCustomKeyStore
|
IAM 정책 |
|
|
|
키 정책 |
CMK |
Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
|
키 정책 |
CMK(비대칭만 해당) |
서명 및 확인을 위한 조건: 암호화 작업에 대한 조건 Conditions for CMK operations: aws:ResourceTag (AWS global condition key) |
이 표의 열은 다음 정보를 제공합니다.
-
작업 및 권한에는 각 AWS KMS API 작업과 해당 작업을 허용하는 권한이 나열되어 있습니다. 정책 설명의
Action
요소에서 작업을 지정합니다. -
정책 유형은 키 정책 또는 IAM 정책에서 권한을 사용할 수 있는지 여부를 나타냅니다.
키 정책은 키 정책에서 권한을 지정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책 설명IAM이 포함되어 있으면 정책에서 권한을 지정할 수 있습니다.IAM
IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.
-
리소스는 권한이 적용되는 리소스를 나열합니다. AWS KMS는 AWS KMS(고객 마스터 키) 및 별칭이라는 두 가지 리소스 유형을 지원합니다.CMK 키 정책에서
Resource
요소의 값은 항상*
이며, 이는 키 정책이 연결된 CMK를 나타냅니다.다음 값을 사용하여 IAM 정책의 AWS KMS 리소스를 나타냅니다.
- CMK
-
리소스가 고객 마스터 키(CMK)인 경우 키 ARN을 사용합니다. 도움말은 키 ID 및 ARN 찾기를 참조하십시오.
arn:
AWS_partition_name
:kms:AWS_Region
:AWS_account_ID
:key/key_ID
예:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- 별칭
-
리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하십시오.
arn:
AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:alias/alias_name
예:
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
*
(별표)-
권한이 특정 리소스(CMK 또는 별칭)에 적용되지 않는 경우 별표(
*
)를 사용합니다.권한에 대한 IAM 정책에서 AWS KMS 요소의 별표는 모든
Resource
리소스(AWS KMS 및 별칭)를 나타냅니다.CMKs 권한이 특정Resource
또는 별칭에 적용되지 않는 경우에도 AWS KMS 요소에 별표를 사용할 수 있습니다.CMKs 예를 들어 허용 또는 거부kms:CreateKey
또는kms:ListKeys
권한을 부여할 때Resource
요소를*
또는 계정별 변형(예:arn:
)으로 설정할 수 있습니다.AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:*
-
AWS KMS 조건 키는 권한을 제한하는 데 사용할 수 있는 AWS KMS 조건 키를 나열합니다. 정책의
Condition
요소에 조건을 지정합니다. 이 열에는 모든 서비스가 아니라 AWS에서 지원되는 AWS KMS 전역 조건 키AWS도 포함됩니다.