기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
또는 와 PutKeyPolicy
AWS SDK 함께 사용 CLI
다음 코드 예제는 PutKeyPolicy
의 사용 방법을 보여 줍니다.
- CLI
-
- AWS CLI
-
키에 대한 KMS 키 정책을 변경하려면
다음
put-key-policy
예시에서는 고객 관리형 키의 키 정책을 변경합니다.시작하려면 키 정책을 생성하고 로컬 JSON 파일에 저장합니다. 이 예시에서 파일은
key_policy.json
입니다. 키 정책을policy
파라미터의 문자열 값으로 지정할 수도 있습니다.이 키 정책의 첫 번째 문은 AWS 계정에 IAM 정책을 사용하여 KMS 키에 대한 액세스를 제어할 수 있는 권한을 부여합니다. 두 번째 문은
test-user
사용자에게 KMS 키에서describe-key
및list-keys
명령을 실행할 수 있는 권한을 부여합니다.key_policy.json
의 콘텐츠:{ "Version" : "2012-10-17", "Id" : "key-default-1", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" }, { "Sid" : "Allow Use of Key", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:user/test-user" }, "Action" : [ "kms:DescribeKey", "kms:ListKeys" ], "Resource" : "*" } ] }
KMS 키를 식별하기 위해 이 예제에서는 키 ID를 사용하지만 키 도 사용할 수 있습니다ARN. 키 정책을 지정하기 위해 이 명령은
policy
파라미터를 사용합니다. 정책이 파일에 있음을 나타내기 위해 필수file://
접두사를 사용합니다. 이 접두사는 지원되는 모든 운영 체제에서 파일을 식별하는 데 필요합니다. 마지막으로, 이 명령은 값이default
인policy-name
파라미터를 사용합니다. 정책 이름을 지정하지 않을 경우 기본값은default
입니다. 유일한 유효 값은default
입니다.aws kms put-key-policy \ --policy-name
default
\ --key-id1234abcd-12ab-34cd-56ef-1234567890ab
\ --policyfile://key_policy.json
이 명령은 출력을 생성하지 않습니다. 명령이 유효한지 확인하려면
get-key-policy
명령을 사용하세요. 다음 예제 명령은 동일한 키에 대한 KMS 키 정책을 가져옵니다. 값이text
인output
파라미터는 읽기 쉬운 텍스트 형식을 반환합니다.aws kms get-key-policy \ --policy-name
default
\ --key-id1234abcd-12ab-34cd-56ef-1234567890ab
\ --outputtext
출력:
{ "Version" : "2012-10-17", "Id" : "key-default-1", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" }, { "Sid" : "Allow Use of Key", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:user/test-user" }, "Action" : [ "kms:Describe", "kms:List" ], "Resource" : "*" } ] }
자세한 내용은 AWS Key Management Service 개발자 안내서의 키 정책 변경을 참조하세요.
-
자세한 API 내용은 명령 참조PutKeyPolicy
의 섹션을 참조하세요. AWS CLI
-
- PHP
-
- PHP용 SDK
-
참고
에 대한 자세한 내용은 를 참조하세요 GitHub. AWS 코드 예시 리포지토리
에서 전체 예시를 찾고 설정 및 실행하는 방법을 배워보세요. /*** * @param string $keyId * @param string $policy * @return void */ public function putKeyPolicy(string $keyId, string $policy) { try { $this->client->putKeyPolicy([ 'KeyId' => $keyId, 'Policy' => $policy, ]); }catch(KmsException $caught){ echo "There was a problem replacing the key policy: {$caught->getAwsErrorMessage()}\n"; throw $caught; } }
-
자세한 API 내용은 참조PutKeyPolicy의 섹션을 참조하세요. AWS SDK for PHP API
-
- Python
-
- SDK Python용(Boto3)
-
참고
에 대한 자세한 내용은 를 참조하세요 GitHub. AWS 코드 예시 리포지토리
에서 전체 예시를 찾고 설정 및 실행하는 방법을 배워보세요. class KeyPolicy: def __init__(self, kms_client): self.kms_client = kms_client @classmethod def from_client(cls) -> "KeyPolicy": """ Creates a KeyPolicy instance with a default KMS client. :return: An instance of KeyPolicy initialized with the default KMS client. """ kms_client = boto3.client("kms") return cls(kms_client) def set_policy(self, key_id: str, policy: dict[str, any]) -> None: """ Sets the policy of a key. Setting a policy entirely overwrites the existing policy, so care is taken to add a statement to the existing list of statements rather than simply writing a new policy. :param key_id: The ARN or ID of the key to set the policy to. :param policy: The existing policy of the key. :return: None """ principal = input( "Enter the ARN of an IAM role to set as the principal on the policy: " ) if key_id != "" and principal != "": # The updated policy replaces the existing policy. Add a new statement to # the list along with the original policy statements. policy["Statement"].append( { "Sid": "Allow access for ExampleRole", "Effect": "Allow", "Principal": {"AWS": principal}, "Action": [ "kms:Encrypt", "kms:GenerateDataKey*", "kms:Decrypt", "kms:DescribeKey", "kms:ReEncrypt*", ], "Resource": "*", } ) try: self.kms_client.put_key_policy(KeyId=key_id, Policy=json.dumps(policy)) except ClientError as err: logger.error( "Couldn't set policy for key %s. Here's why %s", key_id, err.response["Error"]["Message"], ) raise else: print(f"Set policy for key {key_id}.") else: print("Skipping set policy demo.")
-
API 자세한 내용은 Python(Boto3) 참조 PutKeyPolicy 의 섹션을 참조하세요. AWS SDK API
-
개발자 가이드 및 코드 예제의 AWS SDK 전체 목록은 섹션을 참조하세요AWS SDK와 함께 이 서비스 사용. 이 주제에는 시작하기에 대한 정보와 이전 SDK 버전에 대한 세부 정보도 포함되어 있습니다.