기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
선택적으로 구성 AWS KMS keys
AWS KMS 암호화 키로 리소스를 암호화하고 복호화하려면 확인란을 선택합니다. 기존 키가 있는 경우 드롭다운 메뉴에 표시된 식별자에서 키를 선택할 수 있습니다. 키 생성 을 선택하여 새 키를 생성할 수 있습니다. 랜딩 영역을 업데이트할 때마다 KMS 키를 추가하거나 변경할 수 있습니다.
랜딩 영역 설정을 선택하면 AWS Control Tower가 사전 확인을 수행하여 KMS 키를 검증합니다. 키는 다음 요구 사항을 충족해야 합니다.
-
활성화됨
-
대칭
-
다중 리전 키가 아님
-
정책에 올바른 권한이 추가되었습니다.
-
키가 관리 계정에 있습니다.
키가 이러한 요구 사항을 충족하지 않으면 오류 배너가 표시될 수 있습니다. 이 경우 다른 키를 선택하거나 키를 생성합니다. 다음 섹션에 설명된 대로 키의 권한 정책을 편집해야 합니다.
KMS 키 정책 업데이트
KMS 키 정책을 업데이트하려면 먼저 KMS 키를 생성해야 합니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 정책 생성을 참조하세요.
AWS Control Tower에서 KMS 키를 사용하려면 AWS Config 및 에 필요한 최소 권한을 추가하여 기본 KMS 키 정책을 업데이트해야 합니다 AWS CloudTrail. 모범 사례로 모든 정책에 최소 필수 권한을 포함하는 것이 좋습니다. KMS 키 정책을 업데이트할 때 단일 JSON 문 또는 줄별로 그룹으로 권한을 추가할 수 있습니다.
이 절차에서는 AWS KMS 암호화에 AWS Config 및 를 사용할 수 있는 정책 문을 추가하여 AWS KMS 콘솔에서 기본 KMS 키 정책을 업데이트 CloudTrail 하는 방법을 설명합니다. 정책 설명에 다음 정보를 포함해야 합니다.
-
YOUR-MANAGEMENT-ACCOUNT-ID- AWS Control Tower를 설정할 관리 계정의 ID입니다. -
YOUR-HOME-REGION- AWS Control Tower를 설정할 때 선택할 홈 리전입니다. -
YOUR-KMS-KEY-ID- 정책에 사용할 KMS 키 ID입니다.
KMS 키 정책을 업데이트하려면
-
에서 AWS KMS 콘솔 열기 https://console.aws.amazon.com/kms
-
탐색 창에서 고객 관리형 키 를 선택합니다.
-
테이블에서 편집할 키를 선택합니다.
-
키 정책 탭에서 키 정책을 볼 수 있는지 확인합니다. 키 정책을 볼 수 없는 경우 정책 보기로 전환을 선택합니다.
-
편집을 선택하고 및 에 대한 AWS Config 다음 정책 설명을 추가하여 기본 KMS 키 정책을 업데이트합니다 CloudTrail.
AWS Config 정책 설명
{ "Sid": "Allow Config to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID" }CloudTrail 정책 설명
{ "Sid": "Allow CloudTrail to use KMS for encryption", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail" }, "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*" } } } -
Save changes(변경 사항 저장)를 선택합니다.
KMS 키 정책 예제
다음 예제 정책은 부여하는 정책 문 AWS Config 과 최소 필수 권한을 추가한 후 KMS 키 정책 CloudTrail 이 어떻게 보일 수 있는지 보여줍니다. 예제 정책에는 기본 KMS 키 정책이 포함되지 않습니다.
{
"Version": "2012-10-17",
"Id": "CustomKMSPolicy",
"Statement": [
{
... YOUR-EXISTING-POLICIES ...
},
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
},
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
]
}
다른 예제 정책을 보려면 다음 페이지를 참조하세요.
-
AWS CloudTrail 사용 설명서 에서 암호화 권한 부여.
-
서비스 연결 RolesS3 버킷 전송 사용 시 KMS 키에 필요한 권한)을 AWS Config 제공합니다.
공격자로부터 보호
정책에 특정 조건을 추가하면 혼동된 대리 공격이라고 하는 특정 유형의 공격을 방지하는 데 도움이 될 수 있습니다. 이 공격은 개체가 서비스 간 사칭과 같은 작업을 수행하도록 더 권한이 있는 엔터티에 강요하는 경우 발생합니다. 정책 조건에 대한 일반 정보는 를 참조하세요정책에서 조건 지정.
AWS Key Management Service (AWS KMS)를 사용하면 다중 리전 KMS 키와 비대칭 키를 생성할 수 있지만 AWS Control Tower는 다중 리전 키 또는 비대칭 키를 지원하지 않습니다. AWS Control Tower는 기존 키를 사전 확인합니다. 다중 리전 키 또는 비대칭 키를 선택하면 오류 메시지가 표시될 수 있습니다. 이 경우 AWS Control Tower 리소스와 함께 사용할 다른 키를 생성합니다.
에 대한 자세한 내용은 개발자 안내서를 AWS KMS참조하세요. AWS KMS
AWS Control Tower의 고객 데이터는 기본적으로 SSE-S3를 사용하여 저장 시 암호화됩니다.
