AWS Config전송 채널의 KMS 키에 대한 권한 - AWS Config
IAM 역할 사용 시서비스 연결 역할 사용 시AWS Config액세스 권한 부여

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config전송 채널의 KMS 키에 대한 권한

S3 버킷 전송을 위해에서 제공하는 객체에 KMS 기반 암호화를 사용할 수 있도록 S3 버킷AWS Config의AWS KMS키에 대한 정책을 생성하려면이 주제의 정보를 사용합니다.

IAM 역할을 사용할 때 KMS 키에 필요한 권한(S3 버킷 전송)

IAM 역할을AWS Config사용하여를 설정하는 경우 KMS 키에 다음 권한 정책을 연결할 수 있습니다.


{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Resource": "*myKMSKeyARN*",
            "Principal": {
                "AWS": [
                    "account-id1",
                    "account-id2",
                    "account-id3"
                ]
            }
        }
    ]
}
참고

IAM 역할, Amazon S3 버킷 정책 또는AWS KMS키가에 대한 적절한 액세스를 제공하지 않으면 Amazon S3 버킷으로 구성 정보를 보내AWS ConfigAWS Config려는 시도가 실패합니다. 이 경우는 이번에는AWS Config서비스 보안 주체로 정보를 다시AWS Config전송합니다. 이 경우 아래에 언급된 권한 정책을AWS KMS키에 연결하여 Amazon S3 버킷에 정보를 전송할 때 키를 사용할 수 있는AWS Config액세스 권한을 부여해야 합니다.

서비스 연결 역할을 사용할 때AWS KMS키에 필요한 권한(S3 버킷 전송)

AWS Config서비스 연결 역할에는AWS KMS키에 액세스할 수 있는 권한이 없습니다. 따라서 서비스 연결 역할을AWS Config사용하여를 설정하면AWS Config가 대신 서비스 보안 주체로AWS Config정보를 전송합니다. Amazon S3 버킷에 정보를 전송할 때AWS KMS키를 사용할 수 있는 액세스 권한을 부여하려면 아래에 언급된AWS Config액세스 정책을AWS KMS키에 연결해야 합니다.

AWS KMS키에 대한AWS Config액세스 권한 부여

이 정책은가 Amazon S3 버킷AWS Config에 정보를 전송할 때AWS KMS키를 사용하도록 허용합니다.

{
    "Id": "Policy_ID",
    "Statement": [
        {
            "Sid": "AWSConfigKMSPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "myKMSKeyARN",
            "Condition": { 
                "StringEquals": {
                    "AWS:SourceAccount": "sourceAccountID"
                }
            }
        }
    ]
}

키 정책에서 다음 값을 바꿉니다.

  • myKMSKeyARN - 구성 항목을 전달할 Amazon S3 버킷의 데이터를 암호화하는 데 사용되는AWS KMS키의 ARN AWS Config입니다.

  • sourceAccountID -AWS Config가 구성 항목을 전송할 계정의 ID입니다.

위의AWS KMS키 정책의 AWS:SourceAccount 조건을 사용하여 특정 계정을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가AWS KMS키와만 상호 작용하도록 제한할 수 있습니다.

AWS Config는 특정AWS Config전송 채널을 대신하여 작업을 수행할 때 Config 서비스 보안 주체가 Amazon S3 버킷과만 상호 작용하도록 제한하는 AWS:SourceArn 조건도 지원합니다.AWS Config서비스 보안 주체를 사용하는 경우 AWS:SourceArn 속성은 항상 로 설정됩니다. arn:aws:config:sourceRegion:sourceAccountID:* 여기서 sourceRegion는 전송 채널의 리전이고 sourceAccountID는 전송 채널이 포함된 계정의 ID입니다.AWS Config전송 채널에 대한 자세한 내용은 전송 채널 관리를 참조하세요. 예를 들어, 다음 조건을 추가하여 Config 서비스 보안 주체가 123456789012 계정의 us-east-1 리전 전송 채널을 대신해서만 Amazon S3 버킷과 상호 작용하도록 제한할 수 있습니다. "ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}.