기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM 정책 설명에서 KMS 키 지정
IAM 정책을 사용하여 보안 주체가 KMS 키를 사용하거나 관리하도록 허용할 수 있습니다. KMS 키는 정책 설명의 Resource
요소에 지정됩니다.
-
IAM 정책 설명에서 KMS 키를 지정하려면키 ARN을 사용해야 합니다. 키 ID, 별칭 이름 또는 별칭 ARN을 사용하여 IAM 정책 설명에서 KMS 키를 식별할 수 없습니다.
예: "
Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
"별칭을 기반으로 KMS 키에 대한 액세스를 제어하려면 kms: 또는 kms: RequestAlias 조건 키를 사용하십시오. ResourceAliases 자세한 내용은 AWS KMS의 ABAC단원을 참조하세요.
별칭 ARN은 별칭 작업 (예:, 또는) 에 대한 액세스를 제어하는 정책 설명문에서만 CreateAlias리소스로 UpdateAlias사용하십시오. DeleteAlias 자세한 내용은 별칭에 대한 액세스 제어 섹션을 참조하세요.
-
계정 및 리전에서 여러 KMS 키를 지정하려면 키 ARN의 리전 또는 리소스 ID 위치에 와일드카드 문자(*)를 사용합니다.
예를 들어 계정의 미국 서부(오레곤) 리전에 있는 모든 KMS 키를 지정하려면 "
Resource": "arn:aws:kms:us-west-2:111122223333:key/*
"를 사용합니다. 계정의 모든 리전에서 모든 KMS 키를 지정하려면 "Resource": "arn:aws:kms:*:111122223333:key/*
"를 사용합니다. -
모든 KMS 키를 표시하려면 와일드카드 문자(
"*"
)만 사용합니다. 특정 KMS 키 (,, 및) 를 사용하지 않는 작업에 이 형식을 사용하십시오. CreateKeyGenerateRandomListAliasesListKeys
정책 설명을 작성할 때 모든 KMS 키에 대한 액세스 권한을 부여하는 대신 보안 주체가 사용해야 하는 KMS 키만 지정하는 것이 모범 사례입니다.
예를 들어 다음 IAM 정책 설명에서는 보안 주체가 정책 설명의 Resource
요소에 나열된 KMS 키에 대해서만 DescribeKeyGenerateDataKey,, 암호 해독 작업을 호출할 수 있도록 허용합니다. 키 ARN으로 KMS 키를 지정하면 사용 권한이 지정된 KMS 키로만 제한됩니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321" ] } }
특정 신뢰할 AWS 계정수 있는 KMS 키에 권한을 적용하려면 지역 및 키 ID 위치에 와일드카드 문자 (*) 를 사용할 수 있습니다. 예를 들어 다음 정책 설명은 보안 주체가 두 개의 신뢰할 수 있는 예제 계정의 모든 KMS 키에 대해 지정된 작업을 호출하도록 허용합니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyPair" ], "Resource": [ "arn:aws:kms:*:111122223333:key/*", "arn:aws:kms:*:444455556666:key/*" ] } }
Resource
요소에서 와일드카드 문자("*"
)만 사용할 수도 있습니다. 계정에 사용 권한이 있는 모든 KMS 키에 대한 액세스를 허용하므로 특정 KMS 키가 없는 작업 및 Deny
문에 주로 권장됩니다. 덜 민감한 읽기 전용 작업만 허용하는 정책 설명에서도 이 기능을 사용할 수 있습니다. AWS KMS 작업에 특정 KMS 키가 포함되는지 여부를 확인하려면 표의 리소스 열에서 KMS 키 값을 찾아보십시오. AWS KMS 권한
예를 들어 다음 정책 설명은Deny
효과를 사용하여 보안 주체가 모든 KMS 키에 대해 지정된 작업을 사용하지 못하도록 합니다. Resource
요소에 와일드카드 문자를 사용하여 모든 KMS 키를 나타냅니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "kms:CreateKey", "kms:PutKeyPolicy", "kms:CreateGrant", "kms:ScheduleKeyDeletion" ], "Resource": "*" } }
다음 정책 설명에서는 와일드카드 문자만 사용하여 모든 KMS 키를 나타냅니다. 그러나 덜 민감한 읽기 전용 작업과 특정 KMS 키에 적용되지 않는 작업만 허용합니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:CreateKey", "kms:ListKeys", "kms:ListAliases", "kms:ListResourceTags" ], "Resource": "*" } }