의 KMS 키에 대한 권한 AWS Config 전송 채널 - AWS Config
IAM역할을 사용하는 경우서비스 연결 역할 사용 시부여 AWS Config access

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 KMS 키에 대한 권한 AWS Config 전송 채널

에 대한 정책을 생성하려면 이 항목의 정보를 사용하십시오. AWS KMS 에서 제공한 객체에 대해 KMS 기반 암호화를 사용할 수 있게 해주는 S3 버킷의 키 AWS Config S3 버킷 전송용.

IAM역할 사용 시 KMS 키에 필요한 권한 (S3 버킷 전송)

설정한 경우 AWS Config IAM역할을 사용하여 팔로우 권한 정책을 KMS 키에 연결할 수 있습니다.


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
참고

IAM역할, Amazon S3 버킷 정책 또는 AWS KMS 키는 다음에 대한 적절한 액세스를 제공하지 않습니다. AWS Config, 그럼 AWS Config Amazon S3 버킷으로 구성 정보를 전송하려는 시도는 실패합니다. 이 경우 AWS Config 정보를 다시 전송합니다. 이번에는 AWS Config 서비스 주체. 이 경우 아래에 언급된 권한 정책을 다음 사이트에 첨부해야 합니다. AWS KMS 권한 부여 키 AWS Config Amazon S3 버킷으로 정보를 전송할 때 키를 사용할 수 있는 액세스 권한

에 대한 필수 권한 AWS KMS 서비스 연결 역할 사용 시 키 (S3 버킷 전송)

The AWS Config 서비스 연결 역할에는 액세스 권한이 없습니다. AWS KMS 키. 그래서, 만약 당신이 설정한다면 AWS Config 서비스 연결 역할을 사용하면 AWS Config 다음과 같이 정보를 전송합니다. AWS Config 대신 서비스 주체입니다. 아래에 언급된 액세스 정책을 에 첨부해야 합니다. AWS KMS 권한 부여 키 AWS Config 사용 권한 AWS KMS Amazon S3 버킷으로 정보를 전달할 때 사용하는 키입니다.

권한 부여 AWS Config 에 대한 액세스 AWS KMS 키

이 정책은 다음을 허용합니다. AWS Config 사용하려면 AWS KMS Amazon S3 버킷으로 정보를 전송할 때의 키

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

키 정책에서 다음 값을 바꿉니다.

  • myKMSKeyARN — ARN AWS KMS Amazon S3 버킷의 데이터를 암호화하는 데 사용되는 키는 다음과 같습니다. AWS Config 에 구성 항목을 전송합니다.

  • sourceAccountID — 해당 계정의 ID AWS Config 에 구성 항목을 전달합니다.

다음 AWS:SourceAccount 조건을 사용할 수 있습니다. AWS KMS 위의 주요 정책은 Config 서비스 보안 주체가 다음과만 상호 작용하도록 제한합니다. AWS KMS 특정 계정을 대신하여 작업을 수행할 때 사용됩니다.

AWS Config 또한 특정 사용자를 AWS:SourceArn 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 Amazon S3 버킷과만 상호 작용하도록 제한하는 조건을 지원합니다. AWS Config 전송 채널. 사용 시 AWS Config 서비스 주체 AWS:SourceArn 속성은 항상 전송 채널의 arn:aws:config:sourceRegion:sourceAccountID:* 위치 sourceRegion 및 전송 sourceAccountID 채널이 포함된 계정의 ID로 설정됩니다. 에 대한 자세한 내용은 AWS Config 전송 채널 관리를 참조하십시오. 예를 들어, 다음 조건을 추가하여 Config 서비스 보안 주체가 123456789012 계정의 us-east-1 리전 전송 채널을 대신해서만 Amazon S3 버킷과 상호 작용하도록 제한할 수 있습니다. "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.