AWS KMS에 서비스 연결 역할 사용 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS에 서비스 연결 역할 사용

AWS Key Management Service의 경우 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 AWS KMS에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 AWS KMS에서 정의하며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.

서비스 연결 역할을 통해 AWS KMS 설정이 쉬워지는데 필요한 권한을 수동으로 추가할 필요가 없기 때문입니다. AWS KMS에서 서비스 연결 역할 권한을 정의하므로, 달리 정의되지 않은 한 AWS KMS에서만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 개체에 연결할 수 없습니다.

먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 AWS KMS 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은IAM으로 작업하는 AWS 서비스를 참조하고 서비스 연결 역할 열에 가 있는 서비스를 찾으십시오. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크를 선택합니다.

AWS KMS 사용자 지정 키 스토어에 대한 서비스 연결 역할 권한

AWS KMS는 AWSServiceRoleForKeyManagementServiceCustomKeyStores이라는 서비스 연결 역할을 사용해 사용자 지정 키 스토어를 지원합니다. 이 서비스 연결 역할은 AWS CloudHSM 클러스터를 보고 사용자 지정 키 스토어와 해당 AWS CloudHSM 클러스터 간의 연결을 지원하는 네트워크 인프라를 생성하는 AWS KMS 권한을 제공합니다. AWS KMS는 사용자가 사용자 지정 키 스토어를 생성할 때만 이 역할을 생성합니다. 사용자는 이러한 서비스 연결 역할을 직접 생성할 수 없습니다.

AWSServiceRoleForKeyManagementServiceCustomKeyStores 서비스 연결 역할은 이 역할을 맡을 cks.kms.amazonaws.com을 신뢰합니다. 따라서 AWS KMS만 이러한 서비스 연결 역할을 수임할 수 있습니다.

이 역할의 권한은 AWS KMS가 AWS CloudHSM 클러스터에 사용자 지정 키 스토어를 연결하기 위해 수행하는 작업으로 제한됩니다. 이렇게 해도 AWS KMS에 어떤 추가 권한도 부여되지 않습니다. 예를 들어 AWS KMS는 AWS CloudHSM 클러스터, HSM 또는 백업을 생성, 관리 또는 삭제할 권한을 가지고 있지 않습니다.

역할을 확인, 편집 및 삭제하는 방법과 AWS KMS가 사용자를 위해 역할을 다시 생성하도록 하는 방법에 대한 권한 및 지침 목록을 포함한 AWSServiceRoleForKeyManagementServiceCustomKeyStores 역할에 대한 자세한 내용은 AWS KMS에 AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 있는 권한 부여 단원을 참조하십시오.