AWS의 관리형 정책AWS Key Management Service
AWS 관리형 정책은 AWS에서 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 위탁자 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스을(를) 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하십시오.
AWS 관리형 정책: AWSKeyManagementServicePowerUser
AWSKeyManagementServicePowerUser 정책을 IAM ID에 연결할 수 있습니다.
AWSKeyManagementServicePowerUser 관리형 정책을 사용하여 계정의 IAM 보안 주체에게 고급 사용자 권한을 부여할 수 있습니다. 고급 사용자는 KMS 키를 생성하고, 자신이 생성한 KMS 키를 사용 및 관리하고, 모든 KMS 키와 IAM 자격 증명을 볼 수 있습니다. AWSKeyManagementServicePowerUser 관리형 정책이 있는 보안 주체는 키 정책, 기타 IAM 정책 및 권한 부여를 비롯한 다른 소스에서 권한을 얻을 수도 있습니다.
AWSKeyManagementServicePowerUser는 AWS 관리형 IAM 정책입니다. AWS 관리형 정책에 대한 자세한 정보는 IAM 사용 설명서에서 AWS 관리형 정책을 참조하세요.
참고
이 정책의 KMS 키와 관련된 권한(예: kms:TagResource 및 kms:GetKeyRotationStatus)은 해당 KMS 키에 대한 키 정책에서, AWS 계정이 IAM 정책을 사용하여 키에 대한 액세스를 제어하도록 명시적으로 허용하는 경우에만 유효합니다. 권한이 KMS 키와 관련된 것인지 확인하려면 AWS KMS 권한 섹션의 리소스(Resources) 열에 KMS 키(KMS key)라는 값이 있는지 확인합니다.
이 정책은 고급 사용자에게 작업을 허용하는 키 정책이 있는 모든 KMS 키에 대한 권한을 부여합니다. 계정 간 권한(예: kms:DescribeKey 및 kms:ListGrants)의 경우 여기에는 신뢰할 수 없는 AWS 계정의 KMS 키가 포함될 수 있습니다. 자세한 내용은 IAM 정책 모범 사례 및 다른 계정의 사용자가 KMS를 사용하도록 허용 섹션을 참조하세요. 다른 계정의 KMS 키에 대한 권한이 유효한지 확인하려면 AWS KMS 권한 섹션에서 계정 간 사용(Cross-account use) 열에 예(Yes)라는 값이 있는지 확인합니다.
보안 주체가 오류 없이 AWS KMS 콘솔을 보도록 허용하려면, 보안 주체에게 tag:GetResources 권한을 부여해야 합니다. 이 권한은 AWSKeyManagementServicePowerUser 정책에 포함되어 있지 않습니다. 별도의 IAM 정책에서 이 권한을 허용할 수 있습니다.
AWSKeyManagementServicePowerUser
-
보안 주체가 KMS 키를 생성하도록 허용합니다. 이 프로세스에는 키 정책 설정이 포함되므로 고급 사용자는 자신이 생성한 KMS 키를 사용하고 관리할 수 있는 권한을 자신과 다른 사용자에게 부여할 수 있습니다.
-
보안 주체가 모든 KMS 키에서 별칭과 태그를 만들고 삭제할 수 있습니다. 태그나 별칭을 변경하면 KMS 키를 사용하고 관리할 수 있는 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 AWS KMS의 ABAC 섹션을 참조하세요.
-
보안 주체가 키 ARN, 암호화 구성, 키 정책, 별칭, 태그 및 교체 상태를 포함하여 모든 KMS 키에 대한 자세한 정보를 얻을 수 있습니다.
-
보안 주체가 IAM 사용자, 그룹 및 역할을 나열하도록 허용합니다.
-
이 정책은 보안 주체가 자신이 생성하지 않은 KMS 키를 사용하거나 관리하도록 허용하지 않습니다. 하지만 모든 KMS 키의 별칭 및 태그를 변경할 수 있으므로, KMS 키를 사용하거나 관리할 권한이 허용 또는 거부될 수 있습니다.
이 정책의 권한을 보려면 AWS 관리형 정책 참조에서 AWSKeyManagementServicePowerUser를 참조하세요.
AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceCustomKeyStores
AWSServiceRoleForKeyManagementServiceCustomKeyStores를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 AWS CloudHSM 키 저장소와 연결된 AWS CloudHSM 클러스터를 조회하고, 사용자 지정 키 저장소와 AWS CloudHSM 클러스터 간 연결을 지원하는 네트워크를 생성할 수 있는 AWS KMS 권한을 제공하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 AWS KMS에 AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 있는 권한 부여 섹션을 참조하세요.
AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
AWSServiceRoleForKeyManagementServiceMultiRegionKeys를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 서비스 연결 역할에 연결되며, 다중 리전 프라이머리 키의 키 구성 요소 변경 사항을 복제 키에 동기화할 수 있는 AWS KMS 권한을 부여합니다. 자세한 내용은 AWS KMS가 다중 리전 키를 동기화하도록 승인 섹션을 참조하세요.
AWS 관리형 정책으로 AWS KMS 업데이트
이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 AWS KMS의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 AWS KMS 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
|
AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy - 기존 정책 업데이트 |
AWS KMS가 관리형 정책 버전 v2에 문 ID( |
2024년 11월 21일 |
|
AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy - 기존 정책 업데이트 |
AWS KMS에서 장애 발생 시 AWS KMS가 명확한 오류 메시지를 제공할 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 변경 사항을 모니터링할 수 있는 |
2023년 11월 10일 |
|
AWS KMS에서 변경 사항 추적 시작 |
AWS KMS에서 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. |
2023년 11월 10일 |
