AWS CloudHSM 키 스토어에 대한 액세스 제어 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 키 스토어에 대한 액세스 제어

IAM 정책을 사용하여 AWS CloudHSM 키 스토어 및 AWS CloudHSM 클러스터에 대한 액세스를 제어합니다. 키 정책, IAM 정책 및 권한 부여를 사용하여 AWS CloudHSM 키 스토어 AWS KMS keys 의에 대한 액세스를 제어할 수 있습니다. 사용자, 그룹 및 역할에 수행할 가능성이 있는 작업에 필요한 권한만 제공하는 것이 좋습니다.

AWS CloudHSM 키 스토어를 지원하려면 클러스터에 대한 정보를 가져올 수 있는 AWS CloudHSM 권한이 AWS KMS 필요합니다. 또한 키 스토어를 AWS CloudHSM 클러스터에 연결하는 AWS CloudHSM 네트워크 인프라를 생성할 수 있는 권한이 필요합니다. 이러한 권한을 얻으려면에서 AWSServiceRoleForKeyManagementServiceCustomKeyStores 서비스 연결 역할을 AWS KMS 생성합니다 AWS 계정. 자세한 내용은 AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여 단원을 참조하십시오.

AWS CloudHSM 키 스토어를 설계할 때 키 스토어를 사용하고 관리하는 보안 주체에게 필요한 권한만 있는지 확인하세요. 다음 목록은 AWS CloudHSM 키 스토어 관리자 및 사용자에게 필요한 최소 권한을 설명합니다.

  • AWS CloudHSM 키 스토어를 생성하고 관리하는 보안 주체는 AWS CloudHSM 키 스토어 API 작업을 사용하려면 다음 권한이 필요합니다.

    • cloudhsm:DescribeClusters

    • kms:CreateCustomKeyStore

    • kms:ConnectCustomKeyStore

    • kms:DeleteCustomKeyStore

    • kms:DescribeCustomKeyStores

    • kms:DisconnectCustomKeyStore

    • kms:UpdateCustomKeyStore

    • iam:CreateServiceLinkedRole

  • 키 스토어와 연결된 AWS CloudHSM AWS CloudHSM 클러스터를 생성하고 관리하는 보안 주체는 AWS CloudHSM 클러스터를 생성하고 초기화할 수 있는 권한이 필요합니다. 여기에는 Amazon Virtual Private Cloud(VPC)를 생성 또는 사용하고, 서브넷을 생성하고, Amazon EC2 인스턴스를 생성할 수 있는 권한이 포함됩니다. 또한를 생성 및 삭제HSMs하고 백업을 관리해야 할 수도 있습니다. 필요한 권한 목록은 AWS CloudHSM 사용 설명서AWS CloudHSM용 ID 및 액세스 관리를 참조하세요.

  • AWS CloudHSM 키 스토어 AWS KMS keys 에서를 생성하고 관리하는 보안 주체는의 KMS 키를 생성하고 관리하는 보안 주체와 동일한 권한이 필요합니다 AWS KMS. 키 스토어의 KMS 키에 대한 기본 키 정책은의 키에 대한 기본 KMS 키 정책과 동일합니다 AWS KMS. AWS CloudHSM 태그와 별칭을 사용하여 KMS 키에 대한 액세스를 제어하는 속성 기반 액세스 제어(ABAC)도 AWS CloudHSM 키 스토어의 KMS 키에 효과적입니다.

  • 암호화 작업에 AWS CloudHSM 키 스토어의 KMS 키를 사용하는 보안 주체는 kms:Decrypt와 같은 KMS 키로 암호화 작업을 수행할 수 있는 권한이 필요합니다. 키 정책, 정책에서 이러한 권한을 제공할 수 IAM 있습니다. 하지만 AWS CloudHSM 키 스토어에서 KMS 키를 사용하는 데는 추가 권한이 필요하지 않습니다.