AWS KMS 권한 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS 권한

이 표는 AWS KMS 리소스에 대한 액세스를 제어할 수 있도록 AWS KMS 권한을 이해하는 데 도움이 되도록 설계되었습니다. 열 머리글의 정의가 테이블 아래에 나와 있습니다.

또한 서비스 AWS KMS 권한 부여 참조 AWS Key Management Service 항목의 작업, 리소스 및 조건 키에서 권한에 대해 알아볼 수 있습니다. 그러나 각 권한을 세부적으로 설정할 때 사용할 수 있는 모든 조건 키가 해당 주제에 나열되어 있지는 않습니다.

참고

테이블의 모든 데이터를 보려면 가로 또는 세로로 스크롤해야 할 수 있습니다.

작업 및 권한 정책 유형 교차 계정 사용 리소스(IAM 정책의 경우) AWS KMS 조건 키

CancelKeyDeletion

kms:CancelKeyDeletion

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

ConnectCustomKeyStore

kms:ConnectCustomKeyStore

IAM 정책 아니요

*

kms: CallerAccount

CreateAlias

kms:CreateAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:CreateAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM 정책에서)

  • KMS 키 (키 정책에서)

자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하십시오.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책 (KMS 키의 경우)

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

CreateCustomKeyStore

kms:CreateCustomKeyStore

IAM 정책 아니요

*

kms: CallerAccount

CreateGrant

kms:CreateGrant

키 정책

KMS 키

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

권한 부여 조건:

kms: GrantConstraintType

kms: GranteePrincipal

kms: GrantIsFor AWSResource

kms: GrantOperations

kms: RetiringPrincipal

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

CreateKey

kms:CreateKey

IAM 정책

아니요

*

kms: BypassPolicyLockoutSafetyCheck

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ViaService

aws: RequestTag/태그 키 (AWS 글로벌 조건 키)

aws: ResourceTag/태그 키 (글로벌 조건 키)AWS

aws: TagKeys (AWS 글로벌 컨디션 키)

Decrypt

kms:Decrypt

키 정책

KMS 키

암호화 작업에 대한 조건

kms: EncryptionAlgorithm

kms: RequestAlias

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

DeleteAlias

kms:DeleteAlias

이 연산을 사용하려면 호출자가 두 리소스에 대한 kms:DeleteAlias 권한을 가지고 있어야 합니다.

  • 별칭(IAM 정책에서)

  • KMS 키 (키 정책에서)

자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하십시오.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책 (KMS 키의 경우)

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

DeleteCustomKeyStore

kms:DeleteCustomKeyStore

IAM 정책 아니요

*

kms: CallerAccount

DeleteImportedKeyMaterial

kms:DeleteImportedKeyMaterial

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

DedriveSharedSecret

kms:DeriveSharedSecret

키 정책 KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

암호화 작업에 대한 조건:

kms: KeyAgreementAlgorithm

DescribeCustomKeyStores

kms:DescribeCustomKeyStores

IAM 정책 아니요

*

kms: CallerAccount

DescribeKey

kms:DescribeKey

키 정책

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건:

kms: RequestAlias

DisableKey

kms:DisableKey

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

DisableKeyRotation

kms:DisableKeyRotation

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

DisconnectCustomKeyStore

kms:DisconnectCustomKeyStore

IAM 정책 아니요

*

kms: CallerAccount

EnableKey

kms:EnableKey

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

EnableKeyRotation

kms:EnableKeyRotation

키 정책

아니요

KMS 키(대칭만 해당)

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

자동 키 교체 조건:

kms: RotationPeriodInDays

암호화

kms:Encrypt

키 정책

KMS 키

암호화 작업에 대한 조건

kms: EncryptionAlgorithm

kms: RequestAlias

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

GenerateDataKey

kms:GenerateDataKey

키 정책

KMS 키(대칭만 해당)

암호화 작업에 대한 조건

kms: EncryptionAlgorithm

kms: RequestAlias

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

GenerateDataKeyPair

kms:GenerateDataKeyPair

키 정책

KMS 키(대칭만 해당)

대칭 암호화 KMS 키로 보호되는 비대칭 데이터 키 페어를 생성합니다.

데이터 키 페어의 조건:

kms: DataKeyPairSpec

암호화 작업에 대한 조건

kms: EncryptionAlgorithm

kms: RequestAlias

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

GenerateDataKeyPairWithoutPlaintext

kms:GenerateDataKeyPairWithoutPlaintext

키 정책

KMS 키(대칭만 해당)

대칭 암호화 KMS 키로 보호되는 비대칭 데이터 키 페어를 생성합니다.

데이터 키 페어의 조건:

kms: DataKeyPairSpec

암호화 작업에 대한 조건

kms: EncryptionAlgorithm

kms: RequestAlias

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

GenerateDataKeyWithoutPlaintext

kms:GenerateDataKeyWithoutPlaintext

키 정책

KMS 키(대칭만 해당)

암호화 작업에 대한 조건

kms: EncryptionAlgorithm

kms: RequestAlias

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

GenerateMac

kms:GenerateMac

키 정책 KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

암호화 작업에 대한 조건:

kms: MacAlgorithm

kms: RequestAlias

GenerateRandom

kms:GenerateRandom

IAM 정책

N/A

*

None

GetKeyPolicy

kms:GetKeyPolicy

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

GetKeyRotationStatus

kms:GetKeyRotationStatus

키 정책

KMS 키(대칭만 해당)

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

GetParametersForImport

kms:GetParametersForImport

키 정책

아니요

KMS 키

kms: WrappingAlgorithm

kms: WrappingKeySpec

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

GetPublicKey

kms:GetPublicKey

키 정책

KMS 키(비대칭만 해당)

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건:

kms: RequestAlias

ImportKeyMaterial

kms:ImportKeyMaterial

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건:

kms: ExpirationModel

kms: ValidTo

ListAliases

kms:ListAliases

IAM 정책

아니요

*

None

ListGrants

kms:ListGrants

키 정책

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건:

kms: GrantIsFor AWSResource

ListKeyPolicies

kms:ListKeyPolicies

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

ListKeyRotations

kms:ListKeyRotations

키 정책

아니요

KMS 키(대칭만 해당)

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

ListKeys

kms:ListKeys

IAM 정책

아니요

*

None

ListResourceTags

kms:ListResourceTags

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

ListRetirableGrants

kms:ListRetirableGrants

IAM 정책

지정된 보안 주체는 로컬 계정에 있어야 하지만 작업은 모든 계정에서 권한을 반환합니다.

*

None

PutKeyPolicy

kms:PutKeyPolicy

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건:

kms: BypassPolicyLockoutSafetyCheck

ReEncrypt

kms:ReEncryptFrom

kms:ReEncryptTo

이 연산을 사용하려면 호출자가 두 KMS 키에 대한 권한을 가지고 있어야 합니다.

  • 해독에 사용되는 KMS 키의 kms:ReEncryptFrom

  • 암호화에 사용되는 KMS 키의 kms:ReEncryptTo

키 정책

KMS 키

암호화 작업에 대한 조건

kms: EncryptionAlgorithm

kms: RequestAlias

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건:

kms: ReEncryptOnSameKey

ReplicateKey

kms:ReplicateKey

이 작업을 사용하려면 호출자에게 다음 권한이 필요합니다.

  • 다중 리전 기본 키의 kms:ReplicateKey

  • 복제본 리전의 IAM 정책에서 kms:CreateKey

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건:

kms: ReplicaRegion

RetireGrant

kms:RetireGrant

권한 부여를 사용 중지할 권한은 주로 권한 부여에 의해 결정됩니다. 정책만으로는 이 작업에 대한 액세스를 허용할 수 없습니다. 자세한 정보는 권한 부여 사용 중지 및 취소을 참조하세요.

IAM 정책

(이 권한은 키 정책에서 유효하지 않습니다.)

KMS 키

암호화 컨텍스트 조건:

kms: EncryptionContext 컨텍스트 키

kms: EncryptionContextKeys

권한 부여 조건:

kms: GrantConstraintType

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

RevokeGrant

kms:RevokeGrant

키 정책

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건:

kms: GrantIsFor AWSResource

RotateKeyOnDemand

kms:RotateKeyOnDemand

키 정책

아니요

KMS 키(대칭만 해당)

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

ScheduleKeyDeletion

kms:ScheduleKeyDeletion

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

Sign

kms:Sign

키 정책

KMS 키(비대칭만 해당)

서명 및 확인을 위한 조건:

kms: MessageType

kms: RequestAlias

kms: SigningAlgorithm

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

TagResource

kms:TagResource

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

태그 지정 조건:

aws: RequestTag/태그 키 (AWS 글로벌 조건 키)

aws: TagKeys (AWS 글로벌 컨디션 키)

UntagResource

kms:UntagResource

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

태그 지정 조건:

aws: RequestTag/태그 키 (AWS 글로벌 조건 키)

aws: TagKeys (AWS 글로벌 컨디션 키)

UpdateAlias

kms:UpdateAlias

이 연산을 사용하려면 호출자가 세 가지 리소스에 대한 kms:UpdateAlias 권한을 가지고 있어야 합니다.

  • 별칭

  • 현재 연결된 KMS 키

  • 새로 연결된 KMS 키

자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하세요.

IAM 정책(별칭의 경우)

아니요

별칭

없음(별칭에 대한 액세스 제어 시)

키 정책(KMS 키의 경우)

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

UpdateCustomKeyStore

kms:UpdateCustomKeyStore

IAM 정책 아니요

*

kms: CallerAccount

UpdateKeyDescription

kms:UpdateKeyDescription

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

UpdatePrimaryRegion

kms:UpdatePrimaryRegion

이 작업을 사용하려면 호출자가 다중 리전 기본 키(복제본 키가 됨)와 다중 리전 복제본 키(기본 키가 됨) 모두에서 kms:UpdatePrimaryRegion 권한이 필요합니다.

키 정책

아니요

KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

기타 조건

kms: PrimaryRegion

Verify

kms:Verify

키 정책

KMS 키(비대칭만 해당)

서명 및 확인을 위한 조건:

kms: MessageType

kms: RequestAlias

kms: SigningAlgorithm

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

VerifyMac

kms:VerifyMac

키 정책 KMS 키

KMS 키 작업에 대한 조건:

kms: CallerAccount

kms: KeySpec

kms: KeyUsage

kms: KeyOrigin

kms: MultiRegion

kms: MultiRegionKeyType

kms: ResourceAliases

aws: ResourceTag/태그 키 (AWS 글로벌 조건 키)

kms: ViaService

암호화 작업에 대한 조건:

kms: MacAlgorithm

kms: RequestAlias

열 설명

이 테이블의 열에는 다음 정보가 표시됩니다.

  • 작업 및 권한에는 각 AWS KMS API 작업과 해당 작업을 허용하는 권한이 나열됩니다. 정책 문의 Action 요소에서 작업을 지정합니다.

  • 정책 유형은 키 정책 또는 IAM 정책에서 권한을 사용할 수 있는지 여부를 나타냅니다.

    키 정책은 키 정책에서 권한을 설정할 수 있음을 의미합니다. 키 정책에 정책을 활성화하는 정책문이 포함되어 있는 경우, IAM 정책에서 권한을 설정할 수 있습니다.

    IAM 정책은 IAM 정책에서만 권한을 지정할 수 있음을 의미합니다.

  • 교차 계정 사용은 권한 있는 사용자가 다른 AWS 계정의 리소스에 대해 수행할 수 있는 작업을 보여줍니다.

    값은 보안 주체가 다른 AWS 계정의 리소스에 대해 작업을 수행할 수 있음을 의미합니다.

    아니요 값은 보안 주체가 자체 AWS 계정의 리소스에 대해서만 작업을 수행할 수 있음을 의미합니다.

    다른 계정의 보안 주체에 교차 계정 리소스에서 사용할 수 없는 권한을 부여하면 사용 권한이 적용되지 않습니다. 예를 들어 다른 계정의 보안 주체에게 사용자 계정의 KMS 키에 대한 TagResource 권한을 부여하는 경우 보안 주체가 사용자 계정의 KMS 키에 태그를 지정하려는 시도는 실패합니다.

  • 리소스에는 권한이 적용되는 AWS KMS 리소스가 나열됩니다. AWS KMS KMS 키와 별칭이라는 두 가지 리소스 유형을 지원합니다. 키 정책에서 Resource 요소의 값은 항상 *이며, 이는 키 정책에 연결된 KMS 키를 나타냅니다.

    IAM 정책의 AWS KMS 리소스를 나타내려면 다음 값을 사용하십시오.

    KMS 키

    리소스가 KMS 키일 때는 키 ARN을 사용합니다. 도움말은 키 ID 및 키 ARN 찾기를 참조하십시오.

    arn:AWS_partition_name:kms:AWS_Region:AWS_account_ID:key/key_ID

    예:

    arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

    별칭

    리소스가 별칭인 경우 별칭 ARN을 사용합니다. 도움말은 별칭 이름 및 별칭 ARN 찾기를 참조하십시오.

    arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:alias/alias_name

    예:

    arn:aws:kms:us-west- 2:111122223333:alias/ ExampleAlias

    *(별표)

    권한이 특정 리소스(KMS 키 또는 별칭)에 적용되지 않는 경우 별표(*)를 사용합니다.

    권한에 대한 IAM 정책에서 요소의 별표는 모든 리소스 (KMS 키 및 별칭) 를 나타냅니다. AWS KMS Resource AWS KMS AWS KMS 권한이 특정 KMS 키 또는 별칭에 적용되지 않는 경우 Resource 요소에 별표를 사용할 수도 있습니다. 예를 들어 허용 또는 거부 kms:CreateKey 또는 kms:ListKeys 권한을 부여할 때 Resource 요소를 * 또는 계정별 변형(예: arn:AWS_partition_name:kms:AWS_region:AWS_account_ID:*)으로 설정할 수 있습니다.

  • AWS KMS 조건 키에는 작업에 대한 액세스를 제어하는 데 사용할 수 있는 AWS KMS 조건 키가 나열되어 있습니다. 정책의 Condition 요소에 조건을 지정합니다. 자세한 정보는 AWS KMS 조건 키을 참조하세요. 이 열에는 모든 서비스에서 지원되지만 모든 AWS 서비스에서 AWS KMS지원되지는 않는 AWS 글로벌 조건 키도 포함됩니다.