기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
권한 테스트
사용하려면 AWS KMS API 요청을 인증하는 데 사용할 AWS 수 있는 자격 증명이 있어야 합니다. 이러한 보안 인증 정보는 KMS 키 및 별칭에 액세스할 수 있는 권한을 포함해야 합니다. 권한은 키 정책, IAM 정책, 권한 부여, 크로스 계정 액세스 제어에 따라 결정됩니다. KMS 키에 대한 액세스를 제어하는 것 외에도 CloudHSM 및 사용자 지정 키 스토어에 대한 액세스를 제어할 수 있습니다.
DryRun API 파라미터를 지정하여 AWS KMS
키를 사용하는 데 필요한 권한이 있는지 확인할 수 있습니다. 또한 AWS KMS API 호출의 요청 파라미터가 올바르게 지정되었는지 확인하는 DryRun 데 사용할 수 있습니다.
DryRun 파라미터란 무엇입니까?
DryRun은 AWS KMS
API 호출이 성공하는지 확인하기 위해 지정하는 선택적 API 파라미터입니다. 실제로 AWS KMS에 호출하기 전에 API 호출을 테스트하는 데 DryRun을 사용합니다. 다음을 확인할 수 있습니다.
-
사용자에게 AWS KMS 키를 사용하는 데 필요한 권한이 있는지 확인할 수 있습니다.
-
호출에서 파라미터를 올바르게 지정했는지 확인할 수 있습니다.
AWS KMS 특정 API 작업에서 DryRun 파라미터 사용을 지원합니다.
DryRun 파라미터를 사용하면 요금이 부과되며 표준 API 요청으로 요금이 청구됩니다. AWS KMS 요금에 대한 자세한 내용은 AWS Key Management Service 요금을
DryRun 파라미터를 사용하는 모든 API 요청은 API의 요청 할당량에 적용되며, API 요청 할당량을 초과할 경우 스로틀링 예외가 발생할 수 있습니다. 예를 들어, DryRun이 있거나 DryRun 없이 Decrypt를 호출하면 동일한 암호화 작업 할당량으로 간주됩니다. 자세한 내용은 스로틀링 요청 AWS KMS 섹션을 참조하십시오.
AWS KMS API 작업에 대한 모든 호출은 이벤트로 캡처되어 AWS CloudTrail 로그에 기록됩니다. DryRun파라미터를 지정하는 모든 작업의 출력이 CloudTrail 로그에 표시됩니다. 자세한 정보는 를 사용하여 통화 로깅 AWS KMS API AWS CloudTrail을 참조하세요.
DryRun API로 지정
사용하려면 DryRun —dry-run 파라미터를 지원하는 AWS CLI
명령 및 AWS KMS API 호출에서 파라미터를 지정하십시오. AWS KMS 그러면 호출이 성공할지 여부를 확인합니다. AWS KMS 를 사용하는 DryRun 통화는 항상 실패하고 통화가 실패한 이유에 대한 정보가 포함된 메시지를 반환합니다. 메시지에는 다음과 같은 예외 사항이 포함될 수 있습니다.
-
DryRunOperationException‐DryRun이 지정되지 않으면 요청이 성공합니다. -
ValidationException‐ 잘못된 API 파라미터를 지정하여 요청이 실패했습니다. -
AccessDeniedException‐ KMS 리소스에 대해 지정된 API 작업을 수행할 권한이 없습니다.
예를 들어 다음 명령은 CreateGrant작업을 사용하고 keyUserRole 역할을 수임할 권한이 있는 사용자가 지정된 대칭 KMS 키에서 암호 해독 작업을 호출할 수 있는 권한을 생성합니다. DryRun 파라미터가 지정되었습니다.
$aws kms create-grant \ --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \ --operations Decrypt \ --dry-run
