다중 지역 키에 대한 액세스 제어 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다중 지역 키에 대한 액세스 제어

다중 리전 키를 사용하면 규정 준수, 재해 복구 및 백업 시나리오에서 단일 리전 키를 사용할 수 있습니다. 그러나 다중 지역 키의 보안 속성은 단일 지역 키의 보안 속성과 크게 다르기 때문에 다중 지역 키의 생성, 관리 및 사용을 승인할 때는 주의를 기울이는 것이 좋습니다.

참고

와일드카드 문자가 있는 기존 IAM 정책 문은Resource필드가 단일 지역 및 다중 지역 CMK에 모두 적용됩니다. 단일 영역 CMK 또는 다중 영역 CMK로 제한하려면KMS:다중 영역조건 키.

단일 지역으로 충분할 경우 권한 부여 도구를 사용하여 다중 지역 키를 만들고 사용하지 않도록 할 수 있습니다. 보안 주체가 다중 리전 키만 AWS 리전 그들을 필요로 합니다. 다중 지역 키에 대한 사용 권한을 필요로 하는 보안 주체와 해당 키가 필요한 작업에 대해서만 부여합니다.

주요 정책, IAM 정책 및 권한 부여를 사용하여 IAM 보안 주체가 다중 리전 키를 관리하고 사용하도록 허용할 수 있습니다. AWS 계정 . 각 다중 리전 키는 고유한 키 ARN 및 키 정책을 가진 독립적인 리소스입니다. 각 키에 대한 키 정책을 설정 및 유지 관리하고 신규 및 기존 IAM 정책이 권한 부여 전략을 구현하는지 확인해야 합니다.

다중 지역 키에 대한 인증 기본 사항

다중 리전 키에 대한 주요 정책 및 IAM 정책을 설계할 때는 다음 원칙을 고려하십시오.

  • 키 정책— 각 다중 리전 키는 독립적인 고객 마스터 키 (CMK) 리소스이며키 정책. 관련된 다중 지역 키 집합의 각 키에 동일하거나 다른 키 정책을 적용할 수 있습니다. 주요 정책은 다음과 같습니다.하지 공유 등록 정보다중 영역 키.AWS KMS에서는 관련된 다중 지역 키 간에 키 정책을 복사하거나 동기화하지 않습니다.

    복제 키를 만들 때AWS KMS콘솔에서 기본 키의 현재 키 정책을 편리하게 표시합니다. 이 키 정책을 사용하거나 편집하거나 삭제하고 바꿀 수 있습니다. 그러나 기본 키 정책을 변경하지 않고 수락하더라도AWS KMS는 정책을 동기화하지 않습니다. 예를 들어, 기본 키의 키 정책을 변경하는 경우 복제 키의 키 정책은 동일하게 유지됩니다.

  • 기본 키 정책— 다중 지역 키를 사용하여 만들 때CreateKeyReplicateKey작업을 수행하는 경우기본 키 정책는 요청에 키 정책을 지정하지 않는 한 적용됩니다. 이는 단일 리전 키에 적용되는 기본 키 정책과 동일합니다.

  • IAM 정책— 모든 CMK와 마찬가지로 IAM 정책을 사용하여 다중 리전 키에 대한 액세스를 제어할 수 있습니다.키 정책에서 허용하는. IAM 정책모든 항목에 적용 AWS 리전 기본적으로 활성화되어 있습니다. 그러나 조건 키는 다음과 같이 사용할 수 있습니다.aws:RequestedRegion를 사용하여 특정 지역으로 권한을 제한할 수 있습니다.

    기본 및 복제본 키를 만들려면 보안 주체가kms:CreateKey권한을 부여하며, 이는 키가 생성된 리전에 적용됩니다.

  • 지원금—AWS KMS 보조금은 리전입니다. 권한 부여를 통해 하나의 CMK에 권한을 부여합니다. 권한 부여를 사용하여 다중 리전 기본 키 또는 복제본 키에 대한 사용 권한을 허용할 수 있습니다. 그러나 다중 영역 키와 관련된 경우에도 단일 권한 부여를 사용하여 여러 CMK에 대한 사용 권한을 허용할 수는 없습니다.

  • 키 ARN— 각 다중 리전 키에는고유 키 ARN ARN. 관련된 다중 리전 키의 키 ARN은 파티션, 계정 및 키 ID는 같지만 리전은 다릅니다.

    특정 다중 리전 키에 IAM 정책 설명을 적용하려면 해당 키 ARN 또는 해당 리전을 포함하는 키 ARN 패턴을 사용합니다. IAM 정책 설명을 모든 관련 다중 리전 키에 적용하려면 다음 예시에서와 같이 ARN 의 Region 요소에 와일드카드 문자 (*) 를 사용합니다.

    { "Effect": "Allow", "Action": [ "kms:Describe*", "kms:List*" ], "Resource": { "arn:aws:kms:*::111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab" } }

    모든 다중 지역 키에 정책 설명을 적용하려면 AWS 계정 를 사용할 수 있습니다.KMS:다중 영역정책 조건 또는 키 ID 패턴에 고유한mrk-접두사.

  • 서비스 연결 역할— 다중 리전 기본 키를 만드는 보안 주체는iam:CreateServiceLinkedRole권한을 부여합니다.

    관련된 다중 지역 키의 공유 속성을 동기화하려면AWS KMSIAM을 가정합니다.서비스 연결 역할.AWS KMS에서 서비스 연결 역할을 생성합니다. AWS 계정 다중 지역 기본 키를 만들 때마다. (역할이 존재하는 경우AWS KMS는 유해한 영향을 미치지 않습니다.) 역할은 모든 리전에서 유효합니다. 허용하려면AWS KMS를 사용하여 서비스 연결 역할을 만들거나 다시 만드는 경우 다중 지역 기본 키를 만드는 보안 주체는iam:CreateServiceLinkedRole권한을 부여합니다.

다중 지역 키 관리자 및 사용자 권한 부여

다중 리전 키를 만들고 관리하는 보안 주체는 기본 및 복제본 리전에서 다음 사용 권한이 필요합니다.

  • kms:CreateKey

  • kms:ReplicateKey

  • kms:UpdatePrimaryRegion

  • iam:CreateServiceLinkedRole

기본 키 생성

아래 번호로 일정하게 높입니다.다중 지역 기본 키 만들기, 주 요구KMS:만들기 키iam:CreateServiceLinkedRole권한을 부여하며 기본 키의 리전에서 유효합니다. 이러한 권한을 가진 주도자는 권한을 제한하지 않는 한 단일 영역 및 다중 영역 CMK를 생성할 수 있습니다.

iam:CreateServiceLinkedRole사용 권한이 허용됨AWS KMS를 생성하려면AWS서비스역할키 관리서비스다중 영역 키역할동기화할 수 있도록공유 등록 정보관련 다중 지역 키.

예를 들어, 이 IAM 정책을 통해 보안 주체는 모든 유형의AWS KMSCMK.

{ "Version": "2012-10-17", "Statement":{ "Action": [ "kms:CreateKey", "iam:CreateServiceLinkedRole" ], "Effect":"Allow", "Resource":"*" } }

다중 지역 기본 키를 만들 수 있는 권한을 허용하거나 거부하려면KMS:다중 영역조건 키. 유효 값은 다음과 같습니다.true(다중 지역 키) 또는false(단일 영역 키). 예를 들어 다음 IAM 정책 설명은Deny작업을 사용하여kms:MultiRegion조건 키를 사용하여 보안 주체가 다중 지역 키를 만들지 못하게 할 수 있습니다.

{ "Version": "2012-10-17", "Statement":{ "Action":"kms:CreateKey", "Effect":"Deny", "Resource":"*", "Condition": { "Bool": "kms:MultiRegion": true } } }

키 복제

아래 번호로 일정하게 높입니다.다중 리전 복제본 키 생성을 사용하려면 보안 주체는 다음 권한을 필요로 합니다.

  • KMS:복제 키권한을 기본 키의 키 정책에서 사용할 수 있습니다.

  • KMS:만들기 키권한 (복제본 키 리전에서 유효한 IAM 정책에서)

이러한 권한을 허용할 때는 주의해야 합니다. 보안 주체는 CMK 및 사용 권한을 부여하는 주요 정책을 만들 수 있습니다. 이kms:ReplicateKey권한은 또한 지역 경계에 걸쳐 키 자료의 이전을 승인합니다.AWS KMS.

를 제한하려면 AWS 리전 다중 리전 키를 복제할 수 있는 경우KMS:복제 영역조건 키. 그것은 단지 제한kms:ReplicateKey권한을 부여합니다. 그렇지 않으면 아무런 효과도 없습니다. 예를 들어 다음 키 정책은 보안 주체가 이 기본 키를 지정된 지역에서만 복제할 수 있도록 허용합니다.

{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Administrator" }, "Action": "kms:ReplicateKey", "Resource": "*", "Condition": { "StringEquals": { "kms:ReplicaRegion": [ "us-east-1", "eu-west-3", "ap-southeast-2" ] } } }

기본 리전 업데이트

인증된 보안 주체는 복제본 키를 기본 키로 변환하여 이전 기본 키를 복제본으로 변경할 수 있습니다. 이 작업은 다음과 같이 알려져 있습니다.기본 리전 업데이트. 기본 리전을 업데이트하려면 보안 주체가KMS:업데이트기본 영역권한을 두 지역에서 사용할 수 있습니다. 키 정책 또는 IAM 정책에서 이러한 권한을 제공할 수 있습니다.

  • kms:UpdatePrimaryRegion을 기본 키에 추가합니다. 이 권한은 기본 키 지역에서 유효해야 합니다.

  • kms:UpdatePrimaryRegion복제 키에. 이 사용 권한은 복제 키 지역에서 유효해야 합니다.

예를 들어 다음 주요 정책은 관리자 역할을 수임할 수 있는 사용자에게 CMK의 기본 지역을 업데이트할 수 있는 권한을 부여합니다. 이 CMK는 이 작업의 기본 키 또는 복제본 키일 수 있습니다.

{ "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Administrator" }, "Action": "kms:UpdatePrimaryRegion" }

를 제한하려면 AWS 리전 기본 키를 호스팅할 수 있는KMS:주 지역조건 키. 예를 들어, 다음 IAM 정책 설명을 통해 보안 주체가 AWS 계정 와 동일하지만 새 기본 지역이 지정된 지역 중 하나 인 경우에만 가능합니다.

{ "Effect": "Allow", "Action": "kms:UpdatePrimaryRegion", "Resource": { "arn:aws:kms:*:111122223333:key/*" }, "Condition": { "StringEquals": { "kms:PrimaryRegion": [ "us-west-2", "sa-east-1", "ap-southeast-1" ] } } }

다중 지역 키 사용 및 관리

기본적으로 CMK를 사용하고 관리할 수 있는 권한이 있는 보안 주체는 AWS 계정 및 지역에는 다중 지역 키를 사용하고 관리할 수 있는 권한도 있습니다. 그러나, 당신은 사용할 수 있습니다.KMS:다중 영역조건 키를 사용하여 단일 지역 키만 허용하거나 다중 지역 키만 허용할 수 있습니다. 또는 사용KMS:다중 영역 키 유형조건 키를 사용하여 다중 리전 기본 키만 허용하거나 복제 키만 허용할 수 있습니다. 두 조건 키 모두CreateKey작업 및 기존 CMK를 사용하는 모든 작업 (예:Encrypt또는EnableKey.

다음 예제 IAM 정책 문은kms:MultiRegion조건 키를 사용하여 보안 주체가 다중 지역 키를 사용하거나 관리하지 못하도록 할 수 있습니다.

{ "Effect": "Deny", "Action": "kms:*", "Resource": "*", "Condition": { "Bool": "kms:MultiRegion": true } }

이 예제 IAM 정책 문은kms:MultiRegionKeyType조건을 사용하여 보안 주체가 다중 리전 복제 키에서만 키 삭제를 예약하고 취소할 수 있도록 합니다.

{ "Effect": "Allow", "Action": [ "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": { "arn:aws:kms:us-west-2:111122223333:key/*" }, "Condition": { "StringEquals": "kms:MultiRegionKeyType": "REPLICA" } }

권한 부여AWS KMS를 사용하여 다중 지역 키를 동기화합니다.

를 사용하려면다중 리전 키,AWS KMSIAM 서비스 연결 역할을 사용합니다. 이 역할은 다음을 제공합니다.AWS KMS동기화하는 데 필요한 사용 권한공유 등록 정보. 다음을 볼 수 있습니다.다중 영역 키 동기화기록하는 CloudTrail 이벤트AWS KMS공유 속성 동기화AWS CloudTrail로그가 생성됩니다.

다중 리전 키의 서비스 연결 역할 정보

A서비스 연결 역할를 제공하는 IAM 역할입니다.AWS다른 전화를 걸 수 있는 서비스 권한AWS서비스를 대신하여 사용해야 합니다. 이 기능은 여러 통합 기능을 보다 쉽게 사용할 수 있도록 설계되었습니다.AWS복잡한 IAM 정책을 생성 및 유지 관리할 필요 없이 서비스를 제공합니다.

다중 영역 키의 경우AWS KMS를 생성하려면AWS서비스역할키 관리서비스다중 영역 키서비스 연결 역할을AWS 키 관리서비스다중 영역 키서비스 역할정책정책을 참조하십시오. 이 정책은 역할에kms:SynchronizeMultiRegionKey권한을 사용하여 다중 지역 키의 공유 속성을 동기화 할 수 있습니다.

왜냐하면AWS서비스역할키 관리서비스다중 영역 키서비스 연결 역할 신뢰만 해당mrk.kms.amazonaws.com만 해당.AWS KMS이 역할은 서비스 연결 역할을 수임할 수 있습니다. 이 역할은 다음과 같은 작업으로 제한됩니다.AWS KMS는 다중 영역 공유 속성을 동기화해야 합니다. 이렇게 해도 AWS KMS에 어떤 추가 권한도 부여되지 않습니다. 예,AWS KMS에는 CMK를 생성, 복제 또는 삭제할 권한이 없습니다.

방법에 대한 자세한 내용은 다음과 같습니다.AWS서비스는 서비스 연결 역할을 사용합니다.서비스 연결 역할 사용IAM 사용 설명서의 IAM 사용 설명서를 참조하십시오.

서비스 연결 역할 생성

AWS KMS가 자동으로 생성됩니다.AWS서비스역할키 관리서비스다중 영역 키서비스 연결 역할이 생성됩니다. AWS 계정 다중 지역 키를 생성할 때 이 역할이 아직 없으면 에서 이 키를 생성합니다. 사용자는 이러한 서비스 연결 역할을 직접 생성하거나 다시 생성할 수 없습니다.

서비스 연결 역할 설명 편집

역할 이름 또는 정책 설명을 편집할 수 없습니다.AWS서비스역할키 관리서비스다중 영역 키서비스 연결 역할을 사용할 수 있지만, 역할 설명은 편집이 가능합니다. 지침은 단원을 참조하십시오.서비스 연결 역할 편집IAM 사용 설명서.

서비스 연결 역할 삭제

AWS KMS를 삭제하지 않습니다.AWS서비스역할키 관리서비스다중 영역 키서비스 연결 역할이 생성됩니다. AWS 계정 이며 삭제할 수는 없습니다. 그러나,AWS KMS가 가정하지 않는AWS서비스역할키 관리서비스다중 영역 키역할에 다중 지역 키가 없으면 해당 권한을 사용할 수 있습니다. AWS 계정 및 리전.