기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 공유 Amazon EBS 스냅샷을 암호화하는 데 사용되는 KMS 키 공유 암호화된 스냅샷을 공유할 때는 해당 스냅샷을 암호화하는 데 사용된 고객 관리형 키도 공유해야 합니다. 생성 당시에 또는 나중에 고객 관리형 키에 교차 계정 권한을 적용할 수 있습니다. 암호화된 스냅샷에 액세스하는 공유 고객 관리형 키의 사용자에게 키에 대해 다음 작업을 수행할 수 있는 권한을 부여해야 합니다. + `kms:DescribeKey` + `kms:CreateGrant` + `kms:GenerateDataKey` + `kms:GenerateDataKeyWithoutPlaintext` + `kms:ReEncrypt` + `kms:Decrypt` **작은 정보** 최소 권한의 원칙을 따르려면 `kms:CreateGrant`에 대한 전체 액세스 권한을 허용하지 마세요. 대신 `kms:GrantIsForAWSResource` 조건 키를 사용하여 AWS 서비스가 사용자를 대신하여 권한 부여를 생성하는 경우에만 사용자가 KMS 키에 대한 권한 부여를 생성하도록 허용합니다. 고객 관리형 키 액세스 제어에 대한 자세한 내용은AWS Key Management Service 개발자 안내서**에서 [AWS KMS의 키 정책 사용](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)을 참조하세요. **AWS KMS 콘솔을 사용하여 고객 관리형 키를 공유하려면** 1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 엽니다. 1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다. 1. 탐색 창에서 **고객 관리형 키(Customer managed keys)**를 선택합니다. 1. **별칭** 열에서 스냅샷을 암호화하는 데 사용한 고객 관리형 키의 별칭(텍스트 링크)을 선택합니다. 키 세부 정보가 새 페이지에서 열립니다. 1. **Key policy(키 정책)** 섹션에는 *정책 보기* 또는 *기본 보기*가 표시됩니다. 정책 보기에는 주요 정책 문서가 표시됩니다. 기본 보기에는 **키 관리자(Key administrators)**, **키 삭제(Key deletion)**, **키 사용(Key Use)** 및 **기타 AWS 계정(Other accounts)**에 대한 섹션이 표시됩니다. 콘솔에서 정책을 생성하고 사용자 지정하지 않은 경우 기본 보기가 표시됩니다. 기본 보기를 사용할 수 없는 경우 정책 보기에서 정책을 수동으로 편집해야 합니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*에서 [키 정책 보기(콘솔)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html#key-policy-viewing-console)을 참조하세요. 액세스할 수 있는 보기에 따라 정책 보기 또는 기본 보기를 사용하여 다음과 같이 정책에 하나 이상의 AWS 계정 IDs 추가합니다. + (정책 보기) **Edit(편집)**를 선택합니다. `"Allow use of the key"` 및 문에 하나 이상의 AWS 계정 IDs를 추가합니다`"Allow attachment of persistent resources"`. **변경 사항 저장**을 선택합니다. 다음 예제에서는 AWS 계정 ID`444455556666`가 정책에 추가됩니다. ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ``` + (기본 보기) **다른 AWS 계정**까지 아래로 스크롤합니다. **다른 AWS 계정 추가**를 선택하고 메시지가 표시되면 AWS 계정 ID를 입력합니다. 다른 계정을 추가하려면 **다른 AWS 계정 추가**를 선택하고 AWS 계정 ID를 입력합니다. AWS 계정을 모두 추가했으면 [**변경 사항 저장(Save changes)**]을 선택합니다.