고객 관리형 KMS 키 및 고급 KMS 키 정책에 대한 고려 사항

참고

에 대한 고객 관리형 KMS 키 AWS IAM Identity Center 는 현재 일부 AWS 리전에서 사용할 수 있습니다.

IAM Identity Center를 사용하여 고객 관리형 KMS 키를 구현할 때는 암호화 구성의 설정, 보안 및 지속적인 유지 관리에 영향을 미치는 이러한 요소를 고려하세요.

기준 및 고급 KMS 키 정책 설명 선택 시 고려 사항

를 사용하여 KMS 키 권한을 보다 구체적으로 만들지 여부를 결정할 때는 조직의 관리 오버헤드와 보안 요구 사항을 고급 KMS 키 정책 설명고려하세요. 보다 구체적인 정책 설명은 누가 어떤 목적으로 키를 사용할 수 있는지에 대한 보다 세분화된 제어를 제공합니다. 그러나 IAM Identity Center 구성이 발전함에 따라 지속적인 유지 관리가 필요합니다. 예를 들어 KMS 키 사용을 특정 AWS 관리형 애플리케이션 배포로 제한하는 경우 조직에서 애플리케이션을 배포하거나 배포 취소하려는 때마다 키 정책을 업데이트해야 합니다. 덜 제한적인 정책은 관리 부담을 줄이지만 보안 요구 사항에 필요한 것보다 더 광범위한 권한을 부여할 수 있습니다.

고객 관리형 KMS 키를 사용하여 새 IAM Identity Center 인스턴스를 활성화하기 위한 고려 사항

여기 고려 사항은에 설명된 암호화 컨텍스트를 사용하여 KMS 키 사용을 특정 IAM Identity Center 인스턴스로 고급 KMS 키 정책 설명 제한하는 경우에 적용됩니다.

고객 관리형 KMS 키로 새 IAM Identity Center 인스턴스를 활성화하면 설정 후까지 IAM Identity Center 및 Identity Store ARNs 사용할 수 없습니다. 다음과 같은 옵션이 있습니다:

• 일반 ARN 패턴을 일시적으로 사용한 다음 인스턴스가 활성화된 후를 전체 ARNs으로 바꿉니다. 필요에 따라 StringEquals 연산자와 StringLike 연산자 간에 전환해야 합니다.

  • IAM Identity Center SPN의 경우: "arn:${Partition}:sso:::instance/*".

  • Identity Store SPN의 경우: "arn:${Partition}:identitystore::${Account}:identitystore/*".

• ARN에서 "purpose:KEY_CONFIGURATION"을 일시적으로 사용합니다. 이는 인스턴스 활성화에만 적용되며 IAM Identity Center 인스턴스가 정상적으로 작동하려면 실제 ARN으로 교체해야 합니다. 이 접근 방식의 장점은 인스턴스가 활성화된 후 이를 대체하는 것을 잊지 않는다는 것입니다.

  • IAM Identity Center SPN의 경우 "arn:${Partition}:sso::instance/purpose:KEY_CONFIGURATION"을 사용합니다.

  • Identity Store SPN의 경우 "arn:${Partition}:identitystore::${Account}:identitystore/purpose:KEY_CONFIGURATION"을 사용합니다.

  중요

  기존 IAM Identity Center 인스턴스에서 이미 사용 중인 KMS 키에는이 구성을 적용하지 마십시오. 정상적인 작업이 중단될 수 있습니다.

• 인스턴스가 활성화될 때까지 KMS 키 정책에서 암호화 컨텍스트 조건을 생략합니다.