기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS KMS 권한
이 표는 AWS KMS 리소스에 대한 액세스를 제어할 수 있도록 AWS KMS 권한을 이해하는 데 도움이 되도록 설계되었습니다. 열 머리글의 정의가 테이블 아래에 나와 있습니다.
서비스 승인 참조 의 주제에 대한 작업, 리소스 및 조건 키에서 AWS KMS 권한에 대해 알아볼 수도 있습니다. AWS Key Management Service 그러나 각 권한을 세부적으로 설정할 때 사용할 수 있는 모든 조건 키가 해당 주제에 나열되어 있지는 않습니다.
대칭 암호화 KMS 키, 비대칭 키 및 KMS 키에 유효한 AWS KMS 작업에 대한 자세한 내용은 섹션을 HMAC KMS 참조하세요키 유형 참조.
참고
테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수 있습니다.
작업 및 권한 | 정책 유형 | 교차 계정 사용 | 리소스(IAM정책용) | AWS KMS 조건 키 |
---|---|---|---|---|
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
ConnectCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
이 연산을 사용하려면 호출자가 두 리소스에 대한
세부 정보는 별칭에 대한 액세스 제어을 참조하세요. |
IAM 정책(별칭의 경우) |
아니요 |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책(KMS키용) |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
CreateCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
예 |
KMS 키 |
암호화 컨텍스트 조건: kms:EncryptionContext:context-key 권한 부여 조건: KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
IAM 정책 |
아니요 |
|
km:BypassPolicyLockoutSafetyCheck aws:RequestTag/tag-key(AWS 글로벌 조건 키) aws:ResourceTag/tag-key(AWS 글로벌 조건 키) aws:TagKeys (AWS 글로벌 조건 키) |
|
키 정책 |
예 |
KMS 키 |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
이 연산을 사용하려면 호출자가 두 리소스에 대한
세부 정보는 별칭에 대한 액세스 제어을 참조하세요. |
IAM 정책(별칭의 경우) |
아니요 |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책(KMS키용) |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
DeleteCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
DedriveSharedSecret
|
키 정책 | 예 | KMS 키 | KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 암호화 작업에 대한 조건: |
DescribeCustomKeyStores
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
예 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건: |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
DisconnectCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 자동 키 교체 조건: |
|
키 정책 |
예 |
KMS 키 |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
예 |
KMS 키 |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
예 |
KMS 키 대칭 암호화 키로 보호되는 비대칭 데이터 KMS 키 페어를 생성합니다. |
데이터 키 페어의 조건: 암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
GenerateDataKeyPairWithoutPlaintext
|
키 정책 |
예 |
KMS 키 대칭 암호화 키로 보호되는 비대칭 데이터 KMS 키 페어를 생성합니다. |
데이터 키 페어의 조건: 암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
GenerateDataKeyWithoutPlaintext
|
키 정책 |
예 |
KMS 키 |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
GenerateMac
|
키 정책 | 예 | KMS 키 | KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 암호화 작업에 대한 조건: |
|
IAM 정책 |
N/A |
|
None |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
예 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
예 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건: |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건: km:ExpirationModel |
|
IAM 정책 |
아니요 |
|
None |
|
키 정책 |
예 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건: |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
IAM 정책 |
아니요 |
|
None |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
IAM 정책 |
지정된 보안 주체는 로컬 계정에 있어야 하지만 작업은 모든 계정에서 권한을 반환합니다. |
|
None |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건: |
이 작업을 사용하려면 호출자에게 두 개의 KMS 키에 대한 권한이 필요합니다.
|
키 정책 |
예 |
KMS 키 |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건: |
이 작업을 사용하려면 호출자에게 다음 권한이 필요합니다.
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건: |
권한 부여를 사용 중지할 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 내용은 권한 부여 사용 중지 및 취소 단원을 참조하십시오. |
IAM 정책 (이 권한은 키 정책에서 유효하지 않습니다.) |
예 |
KMS 키 |
암호화 컨텍스트 조건: kms:EncryptionContext:context-key 권한 부여 조건: KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
예 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건: |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
예 |
KMS 키 |
서명 및 확인을 위한 조건: km:RequestAliasKMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 태그 지정 조건: aws:RequestTag/tag-key(AWS 글로벌 조건 키) aws:TagKeys (AWS 글로벌 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 태그 지정 조건: aws:RequestTag/tag-key(AWS 글로벌 조건 키) aws:TagKeys (AWS 글로벌 조건 키) |
이 연산을 사용하려면 호출자가 세 가지 리소스에 대한
세부 정보는 별칭에 대한 액세스 제어을 참조하세요. |
IAM 정책(별칭의 경우) |
아니요 |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책(KMS키용) |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
|
UpdateCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
이 작업을 사용하려면 호출자가 다중 리전 기본 키(복제본 키가 됨)와 다중 리전 복제본 키(기본 키가 됨) 모두에서 |
키 정책 |
아니요 | KMS 키 |
KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 기타 조건 |
|
키 정책 |
예 | KMS 키 |
서명 및 확인을 위한 조건: km:RequestAliasKMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) |
VerifyMac
|
키 정책 | 예 | KMS 키 | KMS 키 작업 조건: aws:ResourceTag/tag-key(AWS 글로벌 조건 키) 암호화 작업에 대한 조건: |
열 설명
이 테이블의 열에는 다음 정보가 표시됩니다.
-
작업 및 권한에는 각 AWS KMS API 작업과 작업을 허용하는 권한이 나열됩니다. 정책 문의
Action
요소에서 작업을 지정합니다. -
정책 유형은 권한을 키 정책 또는 IAM 정책에 사용할 수 있는지 여부를 나타냅니다.
키 정책은 키 정책에서 권한을 설정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책 문이 포함된 경우 정책에서 권한을 지정할 IAM 수 있습니다. IAM
IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.
-
교차 계정 사용은 권한 있는 사용자가 다른 AWS 계정의 리소스에 대해 수행할 수 있는 작업을 보여줍니다.
예 값은 보안 주체가 다른 AWS 계정의 리소스에 대해 작업을 수행할 수 있음을 의미합니다.
아니요 값은 보안 주체가 자체 AWS 계정의 리소스에 대해서만 작업을 수행할 수 있음을 의미합니다.
다른 계정의 보안 주체에 교차 계정 리소스에서 사용할 수 없는 권한을 부여하면 사용 권한이 적용되지 않습니다. 예를 들어 다른 계정 kmsTagResource의 보안 주체에게 계정의 KMS 키에 대한 권한을 부여하면 계정의 KMS 키에 태그를 지정하려는 보안 주체의 시도가 실패합니다.
-
리소스에는 권한이 적용되는 AWS KMS 리소스가 나열됩니다. 는 KMS 키와 별칭이라는 두 가지 리소스 유형을 AWS KMS 지원합니다. 키 정책에서
Resource
요소의 값은 항상 이며*
, 이는 키 정책이 연결된 KMS 키를 나타냅니다.다음 값을 사용하여 IAM 정책의 AWS KMS 리소스를 나타냅니다.
- KMS 키
-
리소스가 KMS 키인 경우 해당 키 ARN를 사용합니다. 도움말은 키 ID 및 키 ARN 찾기를 참조하십시오.
arn:
AWS_partition_name
:kms:AWS_Region
:AWS_account_ID
:key/key_ID
예:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- 별칭
-
리소스가 별칭인 경우 해당 별칭ARN을 사용합니다. 도움말은 KMS 키의 별칭 이름 및 ARN 별칭 찾기를 참조하십시오.
arn:
AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:alias/alias_name
예:
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
*
(별표)-
권한이 특정 리소스(KMS키 또는 별칭)에 적용되지 않는 경우 별표()를 사용합니다
*
.AWS KMS 권한 IAM 정책에서
Resource
요소의 별표는 모든 AWS KMS 리소스(KMS키 및 별칭)를 나타냅니다. 권한이 특정 KMS 키 또는 별칭에 적용되지 AWS KMS 않는 경우에도Resource
요소에 별표를 사용할 수 있습니다. 예를 들어,kms:CreateKey
또는kms:ListKeys
권한을 허용 또는 거부하는 경우Resource
요소를 로 설정해야 합니다*
.
-
AWS KMS 조건 키에는 작업에 대한 액세스를 제어하는 데 사용할 수 있는 AWS KMS 조건 키가 나열됩니다. 정책의
Condition
요소에 조건을 지정합니다. 자세한 내용은 AWS KMS 조건 키 단원을 참조하십시오. 이 열에는 모든 AWS 서비스가 AWS KMS아닌 에서 지원하는 AWS 전역 조건 키도 포함되어 있습니다.