AWS KMS 권한

권한 표AWS KMS에는 각 작업에 대한 권한이 나열되어 있으므로 AWS KMS키 정책 및 정책IAM에서 올바르게 사용할 수 있습니다.

중요

보안 주체에게 고객 마스터 키(CMKs)에 대한 액세스를 제어하는 정책 및 권한의 생성 및 관리 권한을 부여할 때는 주의해야 합니다. 태그와 별칭을 관리할 권한이 있는 보안 주체도 CMK에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 에 ABAC 사용AWS KMS을(를) 참조하십시오.

참고

이 표의 모든 데이터를 보려면 가로 및 세로로 스크롤해야 할 수 있습니다.

작업 및 권한	정책 유형	리소스(IAM 정책용)	AWS KMS 조건 키
CancelKeyDeletion `kms:CancelKeyDeletion`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
ConnectCustomKeyStore `kms:ConnectCustomKeyStore`	IAM 정책	`*`	kms:CallerAccount
CreateAlias `kms:CreateAlias` 이 연산을 사용하려면 호출자가 두 리소스에 대한 `kms:CreateAlias` 권한을 가지고 있어야 합니다. 별칭(IAM 정책에서) (키 정책에서)CMK 자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오.	IAM 정책(별칭의 경우)	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책(CMK의 경우)	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
CreateCustomKeyStore `kms:CreateCustomKeyStore`	IAM 정책	`*`	kms:CallerAccount
CreateGrant `kms:CreateGrant`	키 정책	CMK	암호화 컨텍스트 조건: kms:EncryptionContext: kms:EncryptionContextKeys 권한 부여 조건: kms:GrantConstraintType kms:GranteePrincipal kms:GrantIsForAWSResource kms:GrantOperations kms:RetiringPrincipal Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
CreateKey `kms:CreateKey`	IAM 정책	`*`	kms:BypassPolicyLockoutSafetyCheck kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin aws:RequestTag(AWS 전역 조건 키)
암호화 해제 `kms:Decrypt`	키 정책	CMK	암호화 작업에 대한 조건 kms:RequestAlias 암호화 컨텍스트 조건: kms:EncryptionAlgorithm kms:EncryptionContext: kms:EncryptionContextKeys Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
DeleteAlias `kms:DeleteAlias` 이 연산을 사용하려면 호출자가 두 리소스에 대한 `kms:DeleteAlias` 권한을 가지고 있어야 합니다. 별칭(IAM 정책에서) (키 정책에서)CMK 자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오.	IAM 정책(별칭의 경우)	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책(CMK의 경우)	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
DeleteCustomKeyStore `kms:DeleteCustomKeyStore`	IAM 정책	`*`	kms:CallerAccount
DeleteImportedKeyMaterial `kms:DeleteImportedKeyMaterial`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
DescribeCustomKeyStores `kms:DescribeCustomKeyStores`	IAM 정책	`*`	kms:CallerAccount
DescribeKey `kms:DescribeKey`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 기타 조건: kms:RequestAlias
DisableKey `kms:DisableKey`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
DisableKeyRotation `kms:DisableKeyRotation`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
DisconnectCustomKeyStore `kms:DisconnectCustomKeyStore`	IAM 정책	`*`	kms:CallerAccount
EnableKey `kms:EnableKey`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
EnableKeyRotation `kms:EnableKeyRotation`	키 정책	CMK(대칭만 해당)	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
Encrypt `kms:Encrypt`	키 정책	CMK	암호화 작업에 대한 조건 kms:RequestAlias 암호화 컨텍스트 조건: kms:EncryptionAlgorithm kms:EncryptionContext: kms:EncryptionContextKeys Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
GenerateDataKey `kms:GenerateDataKey`	키 정책	CMK(대칭만 해당)	암호화 작업에 대한 조건 kms:RequestAlias 암호화 컨텍스트 조건: kms:EncryptionAlgorithm kms:EncryptionContext: kms:EncryptionContextKeys Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
GenerateDataKeyPair `kms:GenerateDataKeyPair`	키 정책	CMK(대칭만 해당) `GenerateDataKeyPair` 및 `GenerateDataKeyPairWithoutPlaintext`는 대칭 CMK로 보호되는 비대칭 데이터 키 페어를 생성합니다.	데이터 키 페어의 조건: kms:DataKeyPairSpec 암호화 작업에 대한 조건 kms:RequestAlias 암호화 컨텍스트 조건: kms:EncryptionAlgorithm kms:EncryptionContext: kms:EncryptionContextKeys Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
GenerateDataKeyPairWithoutPlaintext `kms:GenerateDataKeyPairWithoutPlaintext`	키 정책	CMK(대칭만 해당) `GenerateDataKeyPair` 및 `GenerateDataKeyPairWithoutPlaintext`는 대칭 CMK로 보호되는 비대칭 데이터 키 페어를 생성합니다.	데이터 키 페어의 조건: kms:DataKeyPairSpec 암호화 작업에 대한 조건 kms:RequestAlias 암호화 컨텍스트 조건: kms:EncryptionAlgorithm kms:EncryptionContext: kms:EncryptionContextKeys Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
GenerateDataKeyWithoutPlaintext `kms:GenerateDataKeyWithoutPlaintext`	키 정책	CMK(대칭만 해당)	암호화 작업에 대한 조건 kms:RequestAlias 암호화 컨텍스트 조건: kms:EncryptionAlgorithm kms:EncryptionContext: kms:EncryptionContextKeys Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
GenerateRandom `kms:GenerateRandom`	IAM 정책	`*`	없음
GetKeyPolicy `kms:GetKeyPolicy`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
GetKeyRotationStatus `kms:GetKeyRotationStatus`	키 정책	CMK(대칭만 해당)	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
GetParametersForImport `kms:GetParametersForImport`	키 정책	CMK(대칭만 해당)	kms:WrappingAlgorithm kms:WrappingKeySpec Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
GetPublicKey `kms:GetPublicKey`	키 정책	CMK(비대칭만 해당)	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 기타 조건: kms:RequestAlias
ImportKeyMaterial `kms:ImportKeyMaterial`	키 정책	CMK(대칭만 해당)	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 기타 조건: kms:ExpirationModel kms:ValidTo
ListAliases `kms:ListAliases`	IAM 정책	`*`	없음
ListGrants `kms:ListGrants`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 기타 조건: kms:GrantIsForAWSResource
ListKeyPolicies `kms:ListKeyPolicies`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
ListKeys `kms:ListKeys`	IAM 정책	`*`	없음
ListResourceTags `kms:ListResourceTags`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
ListRetirableGrants `kms:ListRetirableGrants`	IAM 정책	`*`	없음
PutKeyPolicy `kms:PutKeyPolicy`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 기타 조건: kms:BypassPolicyLockoutSafetyCheck
ReEncrypt `kms:ReEncryptFrom` `kms:ReEncryptTo` 이 작업을 사용하려면 호출자가 두 개의 CMKs에 대한 권한을 가지고 있어야 합니다. 의 `kms:ReEncryptFrom`CMK 암호화에 사용되는 `kms:ReEncryptTo`의 CMK	키 정책	CMK	암호화 작업에 대한 조건 kms:RequestAlias 암호화 컨텍스트 조건: kms:EncryptionAlgorithm kms:EncryptionContext: kms:EncryptionContextKeys Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 기타 조건: kms:ReEncryptOnSameKey
RetireGrant `kms:RetireGrant` 권한 부여의 사용을 중지할 수 있는 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 내용은 권한 부여 만료 및 취소 단원을 참조하십시오.	키 정책	CMK	kms:ResourceAliases aws:ResourceTag(AWS 전역 조건 키)
RevokeGrant `kms:RevokeGrant`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 기타 조건: kms:GrantIsForAWSResource
ScheduleKeyDeletion `kms:ScheduleKeyDeletion`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
Sign `kms:Sign`	키 정책	CMK(비대칭만 해당)	서명 및 확인을 위한 조건: kms:MessageType kms:SigningAlgorithm 암호화 작업에 대한 조건 kms:RequestAlias Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
TagResource `kms:TagResource`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 태그 지정 조건: aws:RequestTag(AWS 전역 조건 키) aws:TagKeys(AWS 전역 조건 키)
UntagResource `kms:UntagResource`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService 태그 지정 조건: aws:RequestTag(AWS 전역 조건 키) aws:TagKeys(AWS 전역 조건 키)
UpdateAlias `kms:UpdateAlias` 이 연산을 사용하려면 호출자가 세 가지 리소스에 대한 `kms:UpdateAlias` 권한을 가지고 있어야 합니다. 별칭 현재 연결된 CMK 새로 연결된 CMK 자세한 내용은 별칭에 대한 액세스 제어을(를) 참조하십시오.	IAM 정책(별칭의 경우)	별칭	없음(별칭에 대한 액세스 제어 시)
	키 정책(CMKs의 경우)	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
UpdateCustomKeyStore `kms:UpdateCustomKeyStore`	IAM 정책	`*`	kms:CallerAccount
UpdateKeyDescription `kms:UpdateKeyDescription`	키 정책	CMK	Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService
확인 `kms:Verify`	키 정책	CMK(비대칭만 해당)	서명 및 확인을 위한 조건: kms:MessageType kms:SigningAlgorithm 암호화 작업에 대한 조건 kms:RequestAlias Conditions for CMK operations: kms:CallerAccount kms:CustomerMasterKeySpec kms:CustomerMasterKeyUsage kms:KeyOrigin kms:ResourceAliases aws:ResourceTag (AWS global condition key) kms:ViaService

이 표의 열은 다음 정보를 제공합니다.

작업 및 권한에는 각 AWS KMS API 작업과 해당 작업을 허용하는 권한이 나열되어 있습니다. 정책 설명의 Action 요소에서 작업을 지정합니다.
정책 유형은 키 정책 또는 IAM 정책에서 권한을 사용할 수 있는지 여부를 나타냅니다.

키 정책은 키 정책에서 권한을 지정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책 설명IAM이 포함되어 있으면 정책에서 권한을 지정할 수 있습니다.IAM

IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.
리소스는 권한이 적용되는 리소스를 나열합니다. AWS KMS는 AWS KMS(고객 마스터 키) 및 별칭이라는 두 가지 리소스 유형을 지원합니다.CMK 키 정책에서 Resource 요소의 값은 항상 *이며, 이는 키 정책이 연결된 CMK를 나타냅니다.

다음 값을 사용하여 IAM 정책의 AWS KMS 리소스를 나타냅니다.

CMK

리소스가 고객 마스터 키(CMK)인 경우 키 ARN을 사용합니다. 도움말은 키 ID 및 ARN 찾기를 참조하십시오.

arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

예:

arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

별칭

리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하십시오.

arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

예:

arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

*(별표)

권한이 특정 리소스(CMK 또는 별칭)에 적용되지 않는 경우 별표(*)를 사용합니다.

권한에 대한 IAM 정책에서 AWS KMS 요소의 별표는 모든 Resource 리소스(AWS KMS 및 별칭)를 나타냅니다.CMKs 권한이 특정 Resource 또는 별칭에 적용되지 않는 경우에도 AWS KMS 요소에 별표를 사용할 수 있습니다.CMKs 예를 들어 허용 또는 거부 kms:CreateKey 또는 kms:ListKeys 권한을 부여할 때 Resource 요소를 * 또는 계정별 변형(예: arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*)으로 설정할 수 있습니다.
AWS KMS 조건 키는 권한을 제한하는 데 사용할 수 있는 AWS KMS 조건 키를 나열합니다. 정책의 Condition 요소에 조건을 지정합니다. 이 열에는 모든 서비스가 아니라 AWS에서 지원되는 AWS KMS 전역 조건 키AWS도 포함됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

에 대한 교차 계정 액세스 허용CMK

정책 조건 사용