기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 에 대한 관리형 정책 AWS Key Management Service
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 AWS 관리형 정책에 정의된 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS 는 새 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 IAM사용 설명서의 AWS 관리형 정책을 참조하세요.
AWS 관리형 정책: AWSKeyManagementServicePowerUser
AWSKeyManagementServicePowerUser 정책을 IAM 자격 증명에 연결할 수 있습니다.
AWSKeyManagementServicePowerUser 관리형 정책을 사용하여 계정의 IAM 보안 주체에게 고급 사용자의 권한을 부여할 수 있습니다. 고급 사용자는 KMS 키를 생성하고, 생성한 KMS 키를 사용 및 관리하고, 모든 KMS 키와 IAM 자격 증명을 볼 수 있습니다. AWSKeyManagementServicePowerUser 관리형 정책이 있는 보안 주체는 키 정책, 기타 정책 IAM 및 권한 부여를 포함한 다른 소스로부터 권한도 얻을 수 있습니다.
AWSKeyManagementServicePowerUser는 AWS 관리형 IAM 정책입니다. AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
참고
kms:TagResource 및와 같은 KMS 키에 특정한이 정책의 권한kms:GetKeyRotationStatus은 해당 KMS 키의 키 정책이 가 IAM 정책을 사용하여 키에 대한 액세스를 제어 AWS 계정 하도록 명시적으로 허용하는 경우에만 유효합니다. 권한이 KMS 키에 특정되는지 확인하려면를 참조AWS KMS 권한하고 리소스 열에서 KMS 키 값을 찾습니다.
이 정책은 작업을 허용하는 KMS 키 정책이 있는 모든 키에 대해 고급 사용자에게 권한을 부여합니다. kms:DescribeKey 및와 같은 교차 계정 권한의 경우 신뢰할 수 없는의 KMS 키kms:ListGrants가 포함될 수 있습니다 AWS 계정. 자세한 내용은 IAM 정책 모범 사례 및 다른 계정의 사용자가 KMS를 사용하도록 허용 섹션을 참조하세요. 권한이 다른 계정의 KMS 키에 유효한지 확인하려면를 참조AWS KMS 권한하고 교차 계정 사용 열에서 예 값을 찾습니다.
보안 주체가 오류 없이 AWS KMS 콘솔을 볼 수 있도록 하려면 보안 주체에 AWSKeyManagementServicePowerUser 정책에 포함되지 않은 권한 태그GetResources가 필요합니다. 별도의 IAM 정책에서이 권한을 허용할 수 있습니다.
AWSKeyManagementServicePowerUser
-
보안 주체가 KMS 키를 생성할 수 있도록 허용합니다. 이 프로세스에는 키 정책 설정이 포함되므로 파워 유저는 자신과 다른 사용자에게 자신이 생성한 KMS 키를 사용하고 관리할 수 있는 권한을 부여할 수 있습니다.
-
보안 주체가 모든 KMS 키에서 별칭 및 태그를 생성하고 삭제할 수 있습니다. 태그 또는 별칭을 변경하면 KMS 키 사용 및 관리 권한을 허용하거나 거부할 수 있습니다. 세부 정보는 AWS KMS의 ABAC을 참조하세요.
-
보안 주체가 KMS 키, 암호화 구성ARN, 키 정책, 별칭, 태그 및 교체 상태를 포함하여 모든 키에 대한 자세한 정보를 얻을 수 있습니다.
-
보안 주체가 IAM 사용자, 그룹 및 역할을 나열할 수 있습니다.
-
이 정책은 보안 주체가 생성하지 않은 KMS 키를 사용하거나 관리하는 것을 허용하지 않습니다. 그러나 모든 KMS 키에서 별칭과 태그를 변경할 수 있으며, 이를 통해 KMS 키 사용 또는 관리 권한을 허용하거나 거부할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateAlias", "kms:CreateKey", "kms:DeleteAlias", "kms:Describe*", "kms:GenerateRandom", "kms:Get*", "kms:List*", "kms:TagResource", "kms:UntagResource", "iam:ListGroups", "iam:ListRoles", "iam:ListUsers" ], "Resource": "*" } ] }
AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceCustomKeyStores
AWSServiceRoleForKeyManagementServiceCustomKeyStores를 IAM 엔터티에 연결할 수 없습니다. 이 정책은 키 스토어와 연결된 AWS CloudHSM 클러스터를 보고 사용자 지정 AWS CloudHSM 키 스토어와 AWS CloudHSM 클러스터 간의 연결을 지원하는 네트워크를 생성할 수 있는 권한을 부여하는 AWS KMS 서비스 연결 역할에 연결됩니다. 자세한 내용은 AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여 단원을 참조하십시오.
AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
AWSServiceRoleForKeyManagementServiceMultiRegionKeys를 IAM 엔터티에 연결할 수 없습니다. 이 정책은 다중 리전 기본 키의 키 구성 요소에 대한 변경 사항을 복제 키와 동기화할 수 있는 권한을 부여하는 AWS KMS 서비스 연결 역할에 연결됩니다. 자세한 내용은 다중 리전 키 AWS KMS 동기화 권한 부여 단원을 참조하십시오.
AWS KMSAWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS KMS 이후에 대한 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 페이지의 RSS 피드를 구독하세요 AWS KMS 문서 기록.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
|
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy - 기존 정책에 대한 업데이트 |
AWS KMS 는 정책 버전 v2의 관리형 정책에 문 ID( |
2024년 11월 21일 |
|
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy - 기존 정책에 대한 업데이트 |
AWS KMS 는 실패 시가 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된의 변경 사항을 모니터링할 수 VPC 있는 |
2023년 11월 10일 |
|
AWS KMS 변경 사항 추적 시작 |
AWS KMS 는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. |
2023년 11월 10일 |
