의 리소스 제어 정책 AWS KMS - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 리소스 제어 정책 AWS KMS

리소스 제어 정책(RCPs)은 조직의 AWS 리소스에 대한 예방 제어를 적용하는 데 사용할 수 있는 조직 정책의 한 유형입니다. RCPs 는 AWS 리소스에 대한 외부 액세스를 대규모로 중앙에서 제한할 수 있도록 지원합니다. RCPs 서비스 제어 정책()을 보완합니다SCPs. SCPs 는 조직의 IAM 역할 및 사용자에 대한 최대 권한을 중앙에서 설정하는 데 사용할 RCPs 수 있지만 는 조직의 AWS 리소스에 대한 최대 권한을 중앙에서 설정하는 데 사용할 수 있습니다.

RCPs 를 사용하여 조직의 고객 관리형 KMS 키에 대한 권한을 관리할 수 있습니다. RCPs 고객 관리형 키에 대한 권한을 부여하는 데는 단독으로는 충분하지 않습니다. 에서는 권한이 부여되지 않습니다RCP. 는 영향을 받는 계정의 리소스에 대해 자격 증명이 수행할 수 있는 작업에 대한 권한 가드레일을 RCP 정의하거나 제한을 설정합니다. 관리자는 여전히 자격 증명 기반 정책을 IAM 역할 또는 사용자에게 연결하거나 실제로 권한을 부여하기 위한 키 정책을 연결해야 합니다.

참고

조직의 리소스 제어 정책은 에 적용되지 않습니다AWS 관리형 키.

AWS 관리형 키 는 AWS 서비스에서 사용자를 대신하여 생성, 관리 및 사용되므로 해당 권한을 변경하거나 관리할 수 없습니다.

자세히 알아보기

  • 에 대한 자세한 내용은 AWS Organizations 사용 설명서리소스 제어 정책을 RCPs참조하세요.

  • 예제를 RCPs포함하여 를 정의하는 방법에 대한 자세한 내용은 AWS Organizations 사용 설명서RCP 구문을 참조하세요.

다음 예제에서는 를 사용하여 외부 보안 주체가 조직의 고객 관리형 키에 액세스하지 RCP 못하도록 하는 방법을 보여줍니다. 이 정책은 샘플일 뿐이며 고유한 비즈니스 및 보안 요구 사항에 맞게 조정해야 합니다. 예를 들어 비즈니스 파트너의 액세스를 허용하도록 정책을 사용자 지정할 수 있습니다. 자세한 내용은 데이터 경계 정책 예제 리포지토리를 참조하세요.

참고

Action 요소가 별표(*)를 와일드카드로 지정RCP하더라도 kms:RetireGrant 권한은 에서 유효하지 않습니다.

에 대한 권한이 결정kms:RetireGrant되는 방법에 대한 자세한 내용은 섹션을 참조하세요권한 부여 사용 중지 및 취소.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceIdentityPerimeter",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:PrincipalOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "false"
                }
            }
        }
    ]
}

다음 예제에서는 요청이 조직에서 시작된 경우에만 서비스 보안 주체가 AWS 고객 관리형 KMS 키에 액세스할 수 있도록 RCP 요구합니다. 이 정책은 요청이 aws:SourceAccount 있는 경우에만 제어를 적용합니다. 이렇게 하면 를 사용할 필요가 없는 서비스 통합aws:SourceAccount이 영향을 받지 않습니다. 요청 컨텍스트에 aws:SourceAccount 이 있는 경우 Null 조건은 로 평가true되어 aws:SourceOrgID 키가 적용됩니다.

혼동된 대리자 문제에 대한 자세한 내용은 IAM 사용 설명서혼동된 대리자 문제를 참조하세요.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "kms:*",
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}