IAM 정책 설명에서 KMS 키 지정 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 정책 설명에서 KMS 키 지정

IAM 정책을 사용하여 보안 주체가 KMS 키를 사용하거나 관리하도록 허용할 수 있습니다. KMS 키는 정책 설명의 Resource 요소에 지정됩니다.

  • IAM 정책 설명에서 KMS 키를 지정하려면키 ARN을 사용해야 합니다. 키 ID, 별칭 이름 또는 별칭 ARN을 사용하여 IAM 정책 설명에서 KMS 키를 식별할 수 없습니다.

    예: "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"

    별칭을 기반으로 KMS 키에 대한 액세스를 제어하려면kms:RequestAlias 또는 kms:ResourceAliases 조건 키를 사용합니다. 자세한 내용은 에 대한 ABAC AWS KMS 섹션을 참조하십시오.

    CreateAlias, UpdateAlias 또는 DeleteAlias와 같은 별칭 작업에 대한 액세스를 제어하는 ​​정책 설명에서만 별칭 ARN을 리소스로 사용합니다. 자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하세요.

  • 계정 및 리전에서 여러 KMS 키를 지정하려면 키 ARN의 리전 또는 리소스 ID 위치에 와일드카드 문자(*)를 사용합니다.

    예를 들어 계정의 미국 서부(오레곤) 리전에 있는 모든 KMS 키를 지정하려면 "Resource": "arn:aws:kms:us-west-2:111122223333:key/*"를 사용합니다. 계정의 모든 리전에서 모든 KMS 키를 지정하려면 "Resource": "arn:aws:kms:*:111122223333:key/*"를 사용합니다.

  • 모든 KMS 키를 표시하려면 와일드카드 문자("*")만 사용합니다. 특정 KMS 키, 즉 CreateKey, GenerateRandom, ListAliasesListKeys를 사용하지 않는 작업에 이 형식을 사용합니다.

정책 설명을 작성할 때 모든 KMS 키에 대한 액세스 권한을 부여하는 대신 보안 주체가 사용해야 하는 KMS 키만 지정하는 것이 모범 사례입니다.

예를 들어 다음 IAM 정책 설명은 보안 주체가 정책 설명의 Resource 요소에 나열된 KMS 키에 대해서만 DescribeKey, GenerateDataKey, Decrypt 작업을 호출하도록 허용합니다. 키 ARN으로 KMS 키를 지정하면 사용 권한이 지정된 KMS 키로만 제한됩니다.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": [
      "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
    ]
  }
}

신뢰할 수 있는 특정의 모든 KMS 키에 권한을 적용하려면 리전 및 키 ID 위치에 와일드카드 문자(*)를 사용할 AWS 계정수 있습니다. 예를 들어 다음 정책 설명은 보안 주체가 두 개의 신뢰할 수 있는 예제 계정의 모든 KMS 키에 대해 지정된 작업을 호출하도록 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:DescribeKey",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair"
    ],
    "Resource": [
      "arn:aws:kms:*:111122223333:key/*",
      "arn:aws:kms:*:444455556666:key/*"
    ]
  }
}

Resource 요소에서 와일드카드 문자("*")만 사용할 수도 있습니다. 계정에 사용 권한이 있는 모든 KMS 키에 대한 액세스를 허용하므로 특정 KMS 키가 없는 작업 및 Deny 문에 주로 권장됩니다. 덜 민감한 읽기 전용 작업만 허용하는 정책 설명에서도 이 기능을 사용할 수 있습니다. AWS KMS 작업에 특정 KMS 키가 포함되어 있는지 확인하려면의 테이블의 리소스 열에서 KMS 키 값을 찾습니다AWS KMS 권한.

예를 들어 다음 정책 설명은Deny 효과를 사용하여 보안 주체가 모든 KMS 키에 대해 지정된 작업을 사용하지 못하도록 합니다. Resource 요소에 와일드카드 문자를 사용하여 모든 KMS 키를 나타냅니다.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": [
      "kms:CreateKey",
      "kms:PutKeyPolicy",
      "kms:CreateGrant",
      "kms:ScheduleKeyDeletion"
    ],
    "Resource": "*"
  }
}

다음 정책 설명에서는 와일드카드 문자만 사용하여 모든 KMS 키를 나타냅니다. 그러나 덜 민감한 읽기 전용 작업과 특정 KMS 키에 적용되지 않는 작업만 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:CreateKey",
      "kms:ListKeys",
      "kms:ListAliases",
      "kms:ListResourceTags"
    ],
    "Resource": "*"
  }
}