권한 부여에 대한 액세스 제어
주요 정책, IAM 정책 및 권한부여에서 권한 부여를 생성하고 관리하는 작업에 대한 액세스를 제어할 수 있습니다. 권한 부여에서 CreateGrant 권한을 받은 보안 주체는 더 제한된 권한 부여 권한을 갖습니다.
| API 작업 | 키 정책 또는 IAM 정책 | 권한 부여 |
|---|---|---|
| CreateGrant | ✓ | ✓ |
| ListGrants | ✓ | - |
| ListRetirableGrants | ✓ | - |
| 권한 부여 사용 중지 | (제한됨. 권한 부여 사용 중지 및 취소 참조) | ✓ |
| RevokeGrant | ✓ | - |
키 정책 또는 IAM 정책을 사용하여 권한 부여를 생성 및 관리하는 작업에 대한 액세스를 제어할 때 다음 정책 조건 중 하나 이상을 사용하여 권한을 제한할 수 있습니다. AWS KMS는 다음 권한 부여 관련 조건 키를 모두 지원합니다. 자세한 정보와 예제는 AWS KMS 조건 키 섹션을 참조하세요.
- kms:GrantConstraintType
-
권한 부여에 지정된 권한 부여 제약 조건이 포함된 경우에만 보안 주체가 권한 부여를 생성할 수 있습니다.
- kms:GrantIsForAWSResource
-
AWS KMS와 통합된 AWS 서비스
가 위탁자를 대신하여 요청을 보내는 경우에만 위탁자가 CreateGrant,ListGrants또는RevokeGrant를 직접적으로 호출하도록 허용합니다. - kms:GrantOperations
-
보안 주체가 권한 부여를 생성할 수 있도록 허용하지만 권한 부여를 지정된 작업으로 제한합니다.
- kms:GranteePrincipal
-
보안 주체가 지정된 피부여자 보안 주체에 대해서만 권한 부여를 생성하도록 허용합니다.
- kms:RetiringPrincipal
-
권한 부여가 특정 사용 중지 보안 주체를 지정하는 경우에만 보안 주체가 권한 부여를 생성하도록 허용합니다.
