AWS Config 전송 채널의 KMS 키에 대한 권한 - AWS Config
IAM 역할 사용 시서비스 연결 역할 사용 시 AWS Config 액세스 권한 부여

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config 전송 채널의 KMS 키에 대한 권한

S3 버킷 전송을 위해 에서 제공하는 객체에 KMS기반 암호화를 사용할 수 있는 S3 버킷의 AWS KMS 키 AWS Config 에 대한 정책을 생성하려면 이 주제의 정보를 사용합니다.

IAM 역할 사용 시 KMS 키에 필요한 권한(S3 버킷 전송)

IAM 역할을 AWS Config 사용하여 를 설정한 경우 KMS 키에 다음 권한 정책을 연결할 수 있습니다.


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
참고

IAM 역할, Amazon S3 버킷 정책 또는 AWS KMS 키가 에 대한 적절한 액세스를 제공하지 않으면 AWS Config AWS Config가 Amazon S3 버킷에 구성 정보를 보내려고 시도하지 못합니다. 이 경우 는 이번에는 AWS Config 서비스 보안 주체로 정보를 다시 AWS Config 보냅니다. 이 경우 아래에 언급된 권한 정책을 AWS KMS 키에 연결하여 Amazon S3 버킷에 정보를 전달할 때 키를 사용할 수 있는 AWS Config 액세스 권한을 부여해야 합니다.

서비스 연결 역할 사용 시 AWS KMS 키에 필요한 권한(S3 버킷 전송)

AWS Config 서비스 연결 역할에는 AWS KMS 키에 액세스할 수 있는 권한이 없습니다. 따라서 서비스 연결 역할을 AWS Config 사용하여 를 설정하면 대신 AWS Config 가 정보를 서비스 보안 주체로 AWS Config 전송합니다. Amazon S3 버킷에 정보를 전달할 때 AWS KMS 키를 사용할 수 있는 액세스 권한을 부여하려면 아래에 언급된 AWS Config 액세스 정책을 AWS KMS 키에 연결해야 합니다.

AWS KMS 키에 대한 AWS Config 액세스 권한 부여

이 정책은 가 Amazon S3 버킷 AWS Config 에 정보를 전달할 때 AWS KMS 키를 사용하도록 허용합니다.

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

키 정책에서 다음 값을 바꿉니다.

  • myKMSKeyARN - 구성 항목을 AWS Config 전달할 Amazon S3 버킷의 데이터를 암호화하는 데 사용되는 AWS KMS 키ARN입니다.

  • sourceAccountID - 가 구성 항목을 전달할 계정의 ID AWS Config 입니다.

위의 AWS KMS 키 정책의 AWS:SourceAccount 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때만 AWS KMS 키와 상호 작용하도록 Config 서비스 보안 주체를 제한할 수 있습니다.

AWS Config 는 특정 AWS Config 전송 채널을 대신하여 작업을 수행할 때만 Amazon S3 버킷과 상호 작용하도록 Config 서비스 보안 주체를 제한하는 AWS:SourceArn 조건도 지원합니다. AWS Config 서비스 보안 주체를 사용할 때 AWS:SourceArn 속성은 항상 로 설정되며 여기서 는 전송 채널의 arn:aws:config:sourceRegion:sourceAccountID:* sourceRegion 리전이고 sourceAccountID는 전송 채널이 포함된 계정의 ID입니다. AWS Config 전송 채널에 대한 자세한 내용은 전송 채널 관리를 참조하세요. 예를 들어, 다음 조건을 추가하여 Config 서비스 보안 주체가 123456789012 계정의 us-east-1 리전 전송 채널을 대신해서만 Amazon S3 버킷과 상호 작용하도록 제한할 수 있습니다. "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.