AWS KMS에 서비스 연결 역할 사용 - AWS Key Management Service

AWS KMS에 서비스 연결 역할 사용

AWS Key Management Service는 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 AWS KMS에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 AWS KMS에서 정의하며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.

서비스 연결 역할을 통해 AWS KMS 설정이 쉬워지는데 필요한 권한을 수동으로 추가할 필요가 없기 때문입니다. AWS KMS에서 서비스 연결 역할 권한을 정의하므로, 달리 정의되지 않은 한 AWS KMS에서만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 AWS KMS 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM으로 작업하는 AWS 서비스를 참조하고 서비스 연결 역할(Service-Linked Role) 열에 예(Yes)가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크를 선택합니다.

AWS KMS 사용자 지정 키 스토어에 대한 서비스 연결 역할 권한

AWS KMS에서는 AWSServiceRoleForKeyManagementServiceCustomKeyStores라는 서비스 연결 역할을 사용하여 사용자 지정 키 스토어를 지원합니다. 이 서비스 연결 역할은 AWS KMS에 AWS CloudHSM 클러스터를 보고 사용자 지정 키 스토어와 해당 AWS CloudHSM 클러스터 간의 연결을 지원하는 네트워크 인프라를 생성할 수 있는 권한을 제공합니다. AWS KMS는 지정 키 스토어를 생성할 때만 이 역할을 생성합니다. 사용자는 이러한 서비스 연결 역할을 직접 생성할 수 없습니다.

AWSServiceRoleForKeyManagementServiceCustomKeyStores 서비스 연결 역할은 cks.kms.amazonaws.com에 이 역할을 부여합니다. 따라서 AWS KMS만 이러한 서비스 연결 역할을 수임할 수 있습니다.

이 역할의 권한은 AWS KMS가 AWS CloudHSM 클러스터에 사용자 지정 키 스토어를 연결하기 위해 수행하는 작업으로 제한됩니다. 이렇게 해도 AWS KMS에 어떤 추가 권한도 부여되지 않습니다. 예를 들어 AWS KMS는 AWS CloudHSM 클러스터, HSM 또는 백업을 생성, 관리 또는 삭제할 권한을 가지고 있지 않습니다.

권한 목록 및 역할 보기, 역할 설명 편집, 역할 삭제 및 AWS KMS가 자동으로 다시 생성하도록 하는 방법에 대한 지침을 포함하여 AWSServiceRoleForKeyManagementServiceCustomKeyStores 역할에 대한 자세한 내용은 AWS KMS에 AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 있는 권한 부여 단원을 참조하십시오.

AWS KMS 다중 리전 키에 대한 서비스 연결 역할 권한

AWS KMS에서는 AWSServiceRoleForKeyManagementServiceMultiRegionKeys라는 서비스 연결 역할을 사용하여 다중 리전 키 스토어를 지원합니다. 이 서비스 연결 역할은 AWS KMS에 다중 리전 기본 키의 키 구성 요소에 대한 변경 사항을 복제본 키로 동기화할 수 있는 권한을 부여합니다. AWS KMS는 다중 리전 기본 키를 생성할 때만 이 역할을 생성합니다. 사용자는 이러한 서비스 연결 역할을 직접 생성할 수 없습니다.

AWSServiceRoleForKeyManagementServiceMultiRegionKeys 서비스 연결 역할은 mrk.kms.amazonaws.com에 이 역할을 부여합니다. 따라서 AWS KMS만 이러한 서비스 연결 역할을 수임할 수 있습니다. 역할의 권한은 AWS KMS가 관련된 다중 리전 키의 키 구성 요소를 동기화된 상태로 유지하기 위해 수행하는 작업으로 제한됩니다. 이렇게 해도 AWS KMS에 어떤 추가 권한도 부여되지 않습니다.

권한 목록 및 역할 보기, 역할 설명 편집, 역할 삭제 및 AWS KMS가 자동으로 다시 생성하도록 하는 방법에 대한 지침을 포함하여 AWSServiceRoleForKeyManagementServiceMultiRegionKeys 역할에 대한 자세한 내용은 AWS KMS가 다중 리전 키를 동기화하도록 승인 단원을 참조하십시오.