기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 최소 권한 구현 키 스토어 및 AWS KMS 계층적 키링을 사용하는 경우 다음 역할을 정의하여 최소 권한 원칙을 따르는 것이 좋습니다. **키 스토어 관리자** 키 스토어 관리자는 키 스토어와 키 스토어가 유지 및 보호하는 브랜치 키를 생성하고 관리할 책임이 있습니다. 키 스토어 관리자는 키 스토어 역할을 하는 Amazon DynamoDB 테이블에 대한 쓰기 권한이 있는 유일한 사용자여야 합니다. 및 [`CreateKey`](create-branch-keys.md)와 같은 권한 있는 관리자 작업에 액세스할 수 있는 유일한 사용자여야 합니다[`VersionKey`](rotate-branch-key.md). [키 스토어 작업을 정적으로 구성하는 경우에만 이러한 작업을 수행할 수 있습니다](keystore-actions.md#static-keystore). `CreateKey`는 키 스토어 허용 목록에 새 KMS 키 ARN을 추가할 수 있는 권한 있는 작업입니다. 이 KMS 키는 새 활성 브랜치 키를 생성할 수 있습니다. KMS 키가 브랜치 키 스토어에 추가되면 삭제할 수 없으므로이 작업에 대한 액세스를 제한하는 것이 좋습니다. **키 스토어 사용자** 대부분의 사용 사례에서 키 스토어 사용자는 데이터를 암호화, 복호화, 서명 및 확인할 때 계층적 키링을 통해서만 키 스토어와 상호 작용합니다. 따라서 키 스토어 역할을 하는 Amazon DynamoDB 테이블에 대한 읽기 권한만 있으면 됩니다. 키 스토어 사용자는 , `GetActiveBranchKey` `GetBranchKeyVersion`및와 같이 암호화 작업을 가능하게 하는 사용 작업에 대한 액세스 권한만 있으면 됩니다`GetBeaconKey`. 사용하는 브랜치 키를 생성하거나 관리하는 데는 권한이 필요하지 않습니다. 키 스토어 작업이 [정적으로 구성](keystore-actions.md#static-keystore)되거나 [검색을](keystore-actions.md#discovery-keystore) 위해 구성된 경우 사용 작업을 수행할 수 있습니다. 키 스토어 작업이 검색하도록 구성된 경우 관리자 작업(`CreateKey` 및 `VersionKey`)을 수행할 수 없습니다. 브랜치 키 스토어 관리자가 브랜치 키 스토어에 여러 KMS 키를 허용 목록에 추가한 경우 계층적 키 링이 여러 KMS 키를 사용할 수 있도록 키 스토어 사용자가 검색을 위해 키 스토어 작업을 구성하는 것이 좋습니다.