기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
의 리소스 제어 정책 AWS KMS
리소스 제어 정책(RCPs)은 조직의 AWS 리소스에 대한 예방 제어를 적용하는 데 사용할 수 있는 유형의 조직 정책입니다. RCPs 사용하면 AWS 리소스에 대한 외부 액세스를 대규모로 중앙에서 제한할 수 있습니다. RCP는 서비스 제어 정책(SCP)을 보완합니다. SCPs 사용하여 조직의 IAM 역할 및 사용자에 대한 최대 권한을 중앙에서 설정할 수 있지만, RCPs를 사용하여 조직의 AWS 리소스에 대한 최대 권한을 중앙에서 설정할 수 있습니다.
조직의 고객 관리형 KMS 키에 대한 권한을 관리하기 위해 RCP를 사용할 수 있습니다. RCP만으로는 고객 관리형 KMS 키에 대한 권한을 부여하기에 충분하지 않습니다. RCP는 어떤 권한도 부여하지 않습니다. RCP는 권한 가드레일을 정의하거나 영향을 받는 계정의 리소스에 대해 주체가 수행할 수 있는 작업에 제한을 설정합니다. 관리자는 실제로 권한을 부여하기 위해 IAM 역할 또는 사용자에게 자격 증명 기반 정책을 연결하거나 키 정책을 연결해야 합니다.
참고
조직의 리소스 제어 정책은 AWS 관리형 키에 적용되지 않습니다.
AWS 관리형 키 는 AWS 서비스에서 사용자를 대신하여 생성, 관리 및 사용되므로 해당 권한을 변경하거나 관리할 수 없습니다.
자세히 알아보기
다음 예시는 조직 내에서 고객 관리형 키에 대한 외부 위탁자의 액세스를 방지하기 위해 RCP를 사용하는 방법을 보여줍니다. 이 정책은 예시일 뿐이며 고유한 비즈니스 및 보안 요구 사항에 맞게 조정해야 합니다. 예를 들어 비즈니스 파트너의 액세스를 허용하도록 정책을 사용자 지정해야 할 수 있습니다. 자세한 내용은 데이터 경계 정책 예제 리포지토리
참고
Action 권한은 kms:RetireGrant 요소가 와일드카드(*)로 지정된 경우에도 RCP에서 유효하지 않습니다.
kms:RetireGrant 권한을 결정하는 방법에 대한 자세한 내용은 권한 부여 사용 중지 및 취소 페이지를 참조하세요.
다음 예제 RCP에서는 요청이 조직에서 시작된 경우에만 AWS 서비스 보안 주체가 고객 관리형 KMS 키에 액세스할 수 있도록 요구합니다. 이 정책은 aws:SourceAccount이 있는 요청에만 해당 통제를 적용합니다. 이렇게 하면 aws:SourceAccount를 사용할 필요가 없는 서비스 통합이 영향을 받지 않습니다. 요청 컨텍스트에 aws:SourceAccount가 있는 경우 Null 조건이 true로 평가되어 aws:SourceOrgID 키가 적용됩니다.
혼동된 대리자 문제에 관한 자세한 내용은 IAM 사용 설명서의 혼동된 대리자 문제를 참조하세요.
