AWS KMS의 리소스 제어 정책
리소스 제어 정책(RCP)은 조직 내 AWS 리소스에 예방적 통제를 적용하기 위해 사용할 수 있는 조직 정책의 한 종류입니다. RCP는 AWS 리소스에 대한 외부 액세스를 중앙에서 대규모로 제한하는 데 도움이 됩니다. RCP는 서비스 제어 정책(SCP)을 보완합니다. 반면 SCP는 조직의 IAM 역할과 사용자에게 부여되는 최대 권한을 중앙에서 설정하는 데 사용되며, RCP는 조직 내 AWS 리소스에 대한 최대 권한을 중앙에서 설정하는 데 사용할 수 있습니다.
조직의 고객 관리형 KMS 키에 대한 권한을 관리하기 위해 RCP를 사용할 수 있습니다. RCP만으로는 고객 관리형 KMS 키에 대한 권한을 부여하기에 충분하지 않습니다. RCP는 어떤 권한도 부여하지 않습니다. RCP는 권한 가드레일을 정의하거나 영향을 받는 계정의 리소스에 대해 주체가 수행할 수 있는 작업에 제한을 설정합니다. 관리자는 실제로 권한을 부여하기 위해 IAM 역할 또는 사용자에게 자격 증명 기반 정책을 연결하거나 키 정책을 연결해야 합니다.
참고
조직의 리소스 제어 정책은 AWS 관리형 키에 적용되지 않습니다.
AWS 관리형 키는 AWS 서비스가 대신 생성, 관리, 사용하므로 귀하가 권한을 변경하거나 관리할 수 없습니다.
자세히 알아보기
다음 예시는 조직 내에서 고객 관리형 키에 대한 외부 위탁자의 액세스를 방지하기 위해 RCP를 사용하는 방법을 보여줍니다. 이 정책은 예시일 뿐이며 고유한 비즈니스 및 보안 요구 사항에 맞게 조정해야 합니다. 예를 들어 비즈니스 파트너의 액세스를 허용하도록 정책을 사용자 지정해야 할 수 있습니다. 자세한 내용은 데이터 경계 정책 예제 리포지토리
참고
Action 권한은 kms:RetireGrant 요소가 와일드카드(*)로 지정된 경우에도 RCP에서 유효하지 않습니다.
kms:RetireGrant 권한을 결정하는 방법에 대한 자세한 내용은 권한 부여 사용 중지 및 취소 페이지를 참조하세요.
다음 예시 RCP에서는 요청이 귀하의 조직에서 발생한 경우에만 AWS 서비스 위탁자가 고객 관리형 KMS 키에 액세스할 수 있도록 요구합니다. 이 정책은 aws:SourceAccount이 있는 요청에만 해당 통제를 적용합니다. 이렇게 하면 aws:SourceAccount를 사용할 필요가 없는 서비스 통합이 영향을 받지 않습니다. 요청 컨텍스트에 aws:SourceAccount가 있는 경우 Null 조건이 true로 평가되어 aws:SourceOrgID 키가 적용됩니다.
혼동된 대리자 문제에 관한 자세한 내용은 IAM 사용 설명서의 혼동된 대리자 문제를 참조하세요.
