AWS KMS 권한
이 테이블은 AWS KMS 권한을 이해하여 AWS KMS 리소스에 대한 액세스를 제어할 수 있도록 하는 데 도움이 되도록 개발되었습니다. 열 머리글의 정의가 테이블 아래에 나와 있습니다.
또한 서비스 권한 부여 참조의 AWS Key Management Service에 사용되는 작업, 리소스 및 조건 키 주제에서도 AWS KMS 권한에 대해 자세히 알아볼 수 있습니다. 그러나 각 권한을 세부적으로 설정할 때 사용할 수 있는 모든 조건 키가 해당 주제에 나열되어 있지는 않습니다.
테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수 있습니다.
작업 및 권한 | 정책 유형 | 교차 계정 사용 | 리소스(IAM 정책의 경우) | AWS KMS 조건 키 |
---|---|---|---|---|
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
ConnectCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
이 연산을 사용하려면 호출자가 두 리소스에 대한
자세한 내용은 별칭에 대한 액세스 제어 단원을 참조하십시오. |
IAM 정책(별칭의 경우) |
아니요 |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책 (KMS 키의 경우) |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
CreateCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
예 |
KMS 키 |
암호화 컨텍스트 조건: kms:EncryptionContext:context-key 권한 부여 조건: KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
IAM 정책 |
아니요 |
|
kms:BypassPolicyLockoutSafetyCheck aws:RequestTag/tag-key(AWS 전역 조건 키) aws:ResourceTag/tag-key(AWS 전역 조건 키) aws:TagKeys(AWS 전역 조건 키) |
|
키 정책 |
예 |
KMS 키 |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
이 연산을 사용하려면 호출자가 두 리소스에 대한
자세한 내용은 별칭에 대한 액세스 제어 단원을 참조하십시오. |
IAM 정책(별칭의 경우) |
아니요 |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책 (KMS 키의 경우) |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
DeleteCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
DescribeCustomKeyStores
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
예 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건: |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
DisconnectCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
아니요 |
KMS 키(대칭만 해당) |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
예 |
KMS 키 |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
예 |
KMS 키(대칭만 해당) |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
예 |
KMS 키(대칭만 해당)
|
데이터 키 페어의 조건: 암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
GenerateDataKeyPairWithoutPlaintext
|
키 정책 |
예 |
KMS 키(대칭만 해당)
|
데이터 키 페어의 조건: 암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
GenerateDataKeyWithoutPlaintext
|
키 정책 |
예 |
KMS 키(대칭만 해당) |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
GenerateMac
|
키 정책 | 예 | KMS 키 | KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 암호화 작업에 대한 조건: |
|
IAM 정책 |
해당 사항 없음 |
|
None |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
예 |
KMS 키(대칭만 해당) |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
아니요 |
KMS 키(대칭만 해당) |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
예 |
KMS 키(비대칭만 해당) |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건: |
|
키 정책 |
아니요 |
KMS 키(대칭만 해당) |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건: kms:ExpirationModel |
|
IAM 정책 |
아니요 |
|
None |
|
키 정책 |
예 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건: |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
IAM 정책 |
아니요 |
|
None |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
IAM 정책 |
지정된 보안 주체는 로컬 계정에 있어야 하지만 작업은 모든 계정에서 권한을 반환합니다. |
|
None |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건: |
이 연산을 사용하려면 호출자가 두 KMS 키에 대한 권한을 가지고 있어야 합니다.
|
키 정책 |
예 |
KMS 키 |
암호화 작업에 대한 조건 암호화 컨텍스트 조건: kms:EncryptionContext:context-key KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건: |
이 작업을 사용하려면 호출자에게 다음 권한이 필요합니다.
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건: |
권한 부여를 사용 중지할 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 정보는 권한 부여 사용 중지 및 취소을 참조하십시오. |
IAM 정책 (이 권한은 키 정책에서 유효하지 않습니다.) |
예 |
KMS 키 |
aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
예 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건: |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
예 |
KMS 키(비대칭만 해당) |
서명 및 확인을 위한 조건: kms:RequestAliasKMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 태그 지정 조건: aws:RequestTag/tag-key(AWS 전역 조건 키) aws:TagKeys(AWS 전역 조건 키) |
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 태그 지정 조건: aws:RequestTag/tag-key(AWS 전역 조건 키) aws:TagKeys(AWS 전역 조건 키) |
이 연산을 사용하려면 호출자가 세 가지 리소스에 대한
자세한 내용은 별칭에 대한 액세스 제어 단원을 참조하세요. |
IAM 정책(별칭의 경우) |
아니요 |
별칭 |
없음(별칭에 대한 액세스 제어 시) |
키 정책(KMS 키의 경우) |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
|
UpdateCustomKeyStore
|
IAM 정책 | 아니요 |
|
|
|
키 정책 |
아니요 |
KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
이 작업을 사용하려면 호출자가 다중 리전 기본 키(복제본 키가 됨)와 다중 리전 복제본 키(기본 키가 됨) 모두에서 |
키 정책 |
아니요 | KMS 키 |
KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 기타 조건 |
|
키 정책 |
예 | KMS 키(비대칭만 해당) |
서명 및 확인을 위한 조건: kms:RequestAliasKMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) |
VerifyMac
|
키 정책 | 예 | KMS 키 | KMS 키 작업에 대한 조건: aws:ResourceTag/tag-key(AWS 전역 조건 키) 암호화 작업에 대한 조건: |
이 테이블의 열에는 다음 정보가 표시됩니다.
-
작업 및 권한에는 각각의 AWS KMS API 작업과 이러한 작업을 허용하는 권한이 나열됩니다. 정책 문의
Action
요소에서 작업을 지정합니다. -
정책 유형은 키 정책 또는 IAM 정책에서 권한을 사용할 수 있는지 여부를 나타냅니다.
키 정책은 키 정책에서 권한을 설정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책문이 포함되어 있는 경우, IAM 정책에서 권한을 설정할 수 있습니다.
IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.
-
교차 계정 사용은 권한 있는 사용자가 다른 AWS 계정의 리소스에 대해 수행할 수 있는 작업을 보여줍니다.
예 값은 보안 주체가 다른 AWS 계정의 리소스에 대해 작업을 수행할 수 있음을 의미합니다.
아니요 값은 보안 주체가 자체 AWS 계정의 리소스에 대해서만 작업을 수행할 수 있음을 의미합니다.
다른 계정의 보안 주체에 교차 계정 리소스에서 사용할 수 없는 권한을 부여하면 사용 권한이 적용되지 않습니다. 예를 들어 다른 계정의 보안 주체가 계정의 KMS 키에 대해 kms:TagResource 권한을 부여하면 계정의 KMS 키에 태그를 지정하려는 시도가 실패합니다.
-
리소스는 권한이 적용되는 AWS KMS 리소스를 나열합니다. AWS KMS에서는 KMS 키와 별칭이라는 두 가지 리소스 유형을 지원합니다. 키 정책에서
Resource
요소의 값은 항상*
이며, 이는 키 정책에 연결된 KMS 키를 나타냅니다.다음 값을 사용하여 IAM 정책의 AWS KMS 리소스를 나타냅니다.
- KMS 키
-
리소스가 KMS 키일 때는 키 ARN을 사용합니다. 도움말은 키 ID 및 키 ARN 찾기를 참조하세요.
arn:
AWS_partition_name
:kms:AWS_Region
:AWS_account_ID
:key/key_ID
예:
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
- 별칭
-
리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하세요.
arn:
AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:alias/alias_name
예:
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
*
(별표)-
권한이 특정 리소스(KMS 키 또는 별칭)에 적용되지 않는 경우 별표(
*
)를 사용합니다.AWS KMS 권한에 대한 IAM 정책에서
Resource
요소의 별표는 모든 AWS KMS 리소스(KMS 키 및 별칭)를 나타냅니다. AWS KMS 권한이 특정 KMS 키 또는 별칭에 적용되지 않는 경우에도Resource
요소에 별표를 사용할 수 있습니다. 예를 들어 허용 또는 거부kms:CreateKey
또는kms:ListKeys
권한을 부여할 때Resource
요소를*
또는 계정별 변형(예:arn:
)으로 설정할 수 있습니다.AWS_partition_name
:kms:AWS_region
:AWS_account_ID
:*
-
AWS KMS 조건 키는 연산에 대한 액세스를 제어하는 데 사용할 수 있는 AWS KMS 조건 키를 나열합니다. 정책의
Condition
요소에 조건을 지정합니다. 자세한 정보는 AWS KMS 조건 키을 참조하십시오. 이 열에는 AWS KMS에서 지원하지만 모든 AWS 서비스에서 지원되지 않는 AWS 전역 조건 키도 포함됩니다.