기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 에 대한 관리형 정책 AWS Key Management Service
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 AWS 관리형 정책에 정의된 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS 는 새 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
AWS 관리형 정책: AWSKeyManagementServicePowerUser
AWSKeyManagementServicePowerUser 정책을 IAM 보안 인증에 연결할 수 있습니다.
AWSKeyManagementServicePowerUser 관리형 정책을 사용하여 계정의 IAM 보안 주체에게 고급 사용자 권한을 부여할 수 있습니다. 고급 사용자는 KMS 키를 생성하고, 자신이 생성한 KMS 키를 사용 및 관리하고, 모든 KMS 키와 IAM 자격 증명을 볼 수 있습니다. AWSKeyManagementServicePowerUser 관리형 정책이 있는 보안 주체는 키 정책, 기타 IAM 정책 및 권한 부여를 비롯한 다른 소스에서 권한을 얻을 수도 있습니다.
AWSKeyManagementServicePowerUser는 AWS 관리형 IAM 정책입니다. AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
참고
이 정책의 KMS 키와 관련된 권한(예: kms:TagResource 및 kms:GetKeyRotationStatus)은 해당 KMS 키에 대한 키 정책에서, AWS 계정 이 IAM 정책을 사용하여 키에 대한 액세스를 제어하도록 명시적으로 허용하는 경우에만 유효합니다. 권한이 KMS 키와 관련된 것인지 확인하려면 AWS KMS 권한 섹션의 리소스(Resources) 열에 KMS 키(KMS key)라는 값이 있는지 확인합니다.
이 정책은 고급 사용자에게 작업을 허용하는 키 정책이 있는 모든 KMS 키에 대한 권한을 부여합니다. 계정 간 권한(예: kms:DescribeKey 및 kms:ListGrants)의 경우 여기에는 신뢰할 수 없는 AWS 계정의 KMS 키가 포함될 수 있습니다. 자세한 내용은 IAM 정책 모범 사례 및 다른 계정의 사용자가 KMS를 사용하도록 허용 섹션을 참조하세요. 다른 계정의 KMS 키에 대한 권한이 유효한지 확인하려면 AWS KMS 권한 섹션에서 계정 간 사용(Cross-account use) 열에 예(Yes)라는 값이 있는지 확인합니다.
보안 주체가 오류 없이 AWS KMS 콘솔을 볼 수 있도록 하려면 보안 주체에 AWSKeyManagementServicePowerUser 정책에 포함되지 않은 tag:GetResources 권한이 필요합니다. 별도의 IAM 정책에서 이 권한을 허용할 수 있습니다.
AWSKeyManagementServicePowerUser
-
보안 주체가 KMS 키를 생성하도록 허용합니다. 이 프로세스에는 키 정책 설정이 포함되므로 고급 사용자는 자신이 생성한 KMS 키를 사용하고 관리할 수 있는 권한을 자신과 다른 사용자에게 부여할 수 있습니다.
-
보안 주체가 모든 KMS 키에서 별칭과 태그를 만들고 삭제할 수 있습니다. 태그나 별칭을 변경하면 KMS 키를 사용하고 관리할 수 있는 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 에 대한 ABAC AWS KMS 섹션을 참조하세요.
-
보안 주체가 키 ARN, 암호화 구성, 키 정책, 별칭, 태그 및 교체 상태를 포함하여 모든 KMS 키에 대한 자세한 정보를 얻을 수 있습니다.
-
보안 주체가 IAM 사용자, 그룹 및 역할을 나열하도록 허용합니다.
-
이 정책은 보안 주체가 자신이 생성하지 않은 KMS 키를 사용하거나 관리하도록 허용하지 않습니다. 하지만 모든 KMS 키의 별칭 및 태그를 변경할 수 있으므로, KMS 키를 사용하거나 관리할 권한이 허용 또는 거부될 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceCustomKeyStores
AWSServiceRoleForKeyManagementServiceCustomKeyStores를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 키 스토어와 연결된 AWS CloudHSM 클러스터를 보고 사용자 지정 AWS CloudHSM 키 스토어와 AWS CloudHSM 클러스터 간의 연결을 지원하는 네트워크를 생성할 수 있는 권한을 부여하는 AWS KMS 서비스 연결 역할에 연결됩니다. 자세한 내용은 AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여 단원을 참조하십시오.
AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
AWSServiceRoleForKeyManagementServiceMultiRegionKeys를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 다중 리전 기본 키의 키 구성 요소에 대한 모든 변경 사항을 복제본 키와 동기화할 수 있는 권한을 부여하는 AWS KMS 서비스 연결 역할에 연결됩니다. 자세한 내용은 다중 리전 키 AWS KMS 동기화 권한 부여 단원을 참조하십시오.
AWS KMSAWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS KMS 이후의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 AWS KMS 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
|
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy – 기존 정책 업데이트 |
AWS KMS 는 정책 버전 v2의 관리형 정책에 문 ID( |
2024년 11월 21일 |
|
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy - 기존 정책 업데이트 |
AWS KMS 는 실패 시가 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 변경 사항을 모니터링할 수 있는 |
2023년 11월 10일 |
|
AWS KMS 변경 사항 추적 시작 |
AWS KMS 는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. |
2023년 11월 10일 |
