AWS KMS VPC 엔드포인트에 연결 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS VPC 엔드포인트에 연결

AWS SDK, AWS CLI 또는 AWS Tools for PowerShell을 사용하여 VPC 엔드포인트를 통해 AWS KMS에 연결할 수 있습니다. VPC 엔드포인트를 지정하려면 해당 DNS 이름을 사용합니다.

예를 들어 이 list-keys 명령은 endpoint-url 파라미터를 사용해 VPC 엔드포인트를 지정합니다. 이러한 명령을 사용하려면 VPC 엔드포인트 ID 예제를 본인 계정의 ID로 바꿉니다.

$ aws kms list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
필수 권한

VPC 엔드포인트를 사용하는 AWS KMS 요청이 성공하려면 보안 주체에게 다음 두 소스의 권한이 필요합니다.

  • 키 정책, IAM 정책 또는 권한 부여는 보안 주체에 리소스(KMS 키 또는 별칭)에 대한 작업을 호출할 수 있는 권한을 부여해야 합니다.

  • VPC 엔드포인트 정책은 보안 주체에 엔드포인트를 사용하여 요청을 수행할 권한을 부여해야 합니다.

예를 들어 키 정책은 보안 주체에 특정 KMS 키에서 Decrypt를 호출할 권한을 부여합니다. 그러나 VPC 엔드포인트 정책에서 해당 보안 주체가 엔드포인트를 사용하여 해당 KMS 키에서 Decrypt를 호출하는 것을 허용하지 않을 수 있습니다.

또는 VPC 엔드포인트 정책에서 보안 주체가 엔드포인트를 사용하여 KMS 키에서 DisableKey를 호출할 수 있도록 합니다 그러나 보안 주체가 키 정책, IAM 정책 또는 권한 부여의 권한을 가지고 있지 않으면 요청이 실패합니다.

엔드포인트를 생성할 때 VPC 엔드포인트 정책을 생성할 수 있으며, 언제든지 VPC 엔드포인트 정책을 변경할 수 있습니다. VPC 관리 콘솔이나 CreateVpcEndpoint 또는 ModifyVpcEndpoint 작업을 사용합니다. AWS CloudFormation 템플릿을 사용하여 VPC 엔드포인트 정책을 생성하고 변경할 수도 있습니다. VPC 관리 콘솔 사용에 대한 도움말은 AWS PrivateLink 설명서인터페이스 엔드포인트 생성인터페이스 엔드포인트 수정을 참조하세요.

프라이빗 호스트 이름

VPC 엔드포인트를 만들 때 프라이빗 호스트 이름을 사용하도록 설정한 경우 CLI 명령 또는 애플리케이션 구성에 VPC 엔드포인트 URL을 지정할 필요가 없습니다. 표준 AWS KMS DNS 호스트 이름이 VPC 엔드포인트로 확인됩니다. AWS CLI 및 SDK는 기본적으로 이 호스트 이름을 사용하므로 스크립트 및 애플리케이션에서 아무 것도 변경하지 않고 VPC 엔드포인트를 사용하여 AWS KMS 리전 엔드포인트에 연결할 수 있습니다.

프라이빗 호스트 이름을 사용하려면 VPC의 enableDnsHostnamesenableDnsSupport 속성을 true로 설정해야 합니다. 이러한 속성을 설정하려면 ModifyVpcAttribute 작업을 사용합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC에 대한 DNS 속성 보기 및 업데이트 섹션을 참조하세요.