쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

키 정책 검사

포커스 모드
키 정책 검사 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 정책은 KMS 키에 대한 액세스를 제어하는 기본적인 방법입니다. 모든 KMS 키에는 정확히 하나의 키 정책이 있습니다.

키 정책이 기본 키 정책으로 구성되거나 포함하는 경우 키 정책은 계정의 IAM 관리자가 IAM 정책을 사용하여 KMS 키에 대한 액세스를 제어하도록 허용합니다. 또한 키 정책이 다른 AWS 계정에 KMS 키를 사용할 수 있는 권한을 부여하는 경우 외부 계정의 IAM 관리자는 IAM 정책을 사용하여 해당 권한을 위임할 수 있습니다. KMS 키에 액세스할 수 있는 보안 주체의 전체 목록을 결정하려면 IAM 정책을 검사하십시오.

계정에서 AWS KMS 고객 관리형 키 또는 AWS 관리형 키의 키 정책을 보려면 AWS KMS API에서 AWS Management Console 또는 GetKeyPolicy 작업를 사용합니다. 키 정책을 보려면 KMS 키에 대한 kms:GetKeyPolicy 권한이 있어야 합니다. KMS 키에 대한 키 정책을 보는 방법은 키 정책 보기 단원을 참조하십시오.

키 정책 문서를 검사하고 각 정책 문서의 Principal 요소에 지정된 모든 보안 주체를 기록해 둡니다. Allow 효과가 있는 정책 문에서 IAM 사용자, IAM 역할 및 Principal 요소의 AWS 계정은 이 KMS 키에 액세스할 수 있습니다.

참고

조건을 사용하여 키 정책을 제한하지 않는 한 권한을 허용하는 키 정책문에서 보안 주체를 별표(*)로 설정하지 마세요. 별표는 다른 정책문에서 명백하게 거부한 경우를 제외하고 모든 AWS 계정 내 모든 자격 증명에게 KMS 키를 사용할 수 있도록 허가합니다. 다른 AWS 계정의 사용자는 본인의 계정에 해당 계정이 있을 때마다 KMS 키를 사용할 수 있습니다.

다음 예제는 기본 키 정책에 수록된 정책문을 사용하여 이를 수행하는 방법을 보여줍니다.

예 정책문 1
{ "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": "kms:*", "Resource": "*" }

정책 문 1에서 arn:aws:iam::111122223333:root는 AWS 계정 111122223333을 참조하는 AWS 계정 보안 주체입니다. (계정 루트 사용자가 아닙니다.) 기본적으로 이와 같은 정책 문은 AWS Management Console을 이용해 새 KMS 키를 생성하거나 프로그래밍 방식으로 새 KMS 키를 생성하되 키 정책을 제공하지 않는 경우 키 정책 문서에 포함되어 있습니다.

AWS 계정에 대한 액세스를 허용하는 문이 포함된 키 정책 문서를 통해 해당 계정의 IAM 정책은 KMS 키에 대한 액세스를 허용할 수 있습니다. 즉 이 계정의 사용자와 역할은 키 정책 문서에 보안 주체로 명시되지 않은 경우에도 KMS 키에 액세스할 수 있습니다. 보안 주체로 기록된 모든 AWS 계정에서 신중하게 모든 IAM 정책을 검사하여 이 KMS 키에 대한 액세스를 허용하는지 파악하십시오.

예 정책문 2
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/KMSKeyAdmins"}, "Action": [ "kms:Describe*", "kms:Put*", "kms:Create*", "kms:Update*", "kms:Enable*", "kms:Revoke*", "kms:List*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }

정책 문 2에서 arn:aws:iam::111122223333:role/KMSKeyAdmins은 AWS 계정 111122223333의 KMSKeyAdmins라는 IAM 역할을 나타냅니다. 이 역할을 수임할 권한이 있는 사용자는 KMS 키 관리를 위한 관리 작업인 정책 문에 나열된 작업을 수행할 수 있습니다.

예 정책문 3
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:Decrypt" ], "Resource": "*" }

정책 문 3에서 arn:aws:iam::111122223333:role/EncryptionApp은 AWS 계정 111122223333에서 EncryptionApp이라는 IAM 역할을 나타냅니다. 이 역할을 맡을 권한이 있는 보안 주체는 대칭 암호화 KMS 키에 대한 암호화 작업을 포함하여 정책 문에 나열된 작업을 수행할 수 있습니다.

예 정책문 4
{ "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/EncryptionApp"}, "Action": [ "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }

정책 문 4에서 arn:aws:iam::111122223333:role/EncryptionApp은 AWS 계정 111122223333에서 EncryptionApp이라는 IAM 역할을 나타냅니다. 이 역할을 맡을 수 있는 권한을 지닌 보안 주체는 정책 문에 수록된 작업을 수행할 수 있습니다. 예제 정책문 3에서 허용된 작업과 결합된 이러한 작업은 AWS KMS와 통합되는 대부분의 AWS 서비스, 특히 권한 부여를 사용하는 서비스에 KMS 키 사용을 위임하는 데 필요한 작업입니다. Condition 요소의 kms:GrantIsForAWSResource 값은 위임이 AWS KMS와 통합되는 AWS 서비스이고 승인을 위해 권한 부여를 사용하는 경우에만 위임이 허용되도록 보장합니다.

키 정책 문서에서 보안 주체를 지정할 수 있는 모든 다양한 방법을 알아보려면 IAM 사용 설명서보안 주체 지정을 참조하십시오.

AWS KMS 키 정책에 대한 자세한 내용은 의 키 정책 AWS KMS 단원을 참조하십시오.

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.