에서 차세대 Resilience Hub가 권한 부여를 사용하는 방법 AWS KMS 고객 관리형 키 생성 차세대 Resilience Hub에 대한 고객 관리형 키 지정 키 정책 차세대 Resilience Hub 암호화 컨텍스트 차세대 Resilience Hub의 암호화 키 모니터링 자세히 알아보기

고객 관리형 키를 사용한 저장 중 암호화

차세대 Resilience Hub는를 사용하여 민감한 고객 저장 데이터를 보호하기 위해 기본적으로 암호화를 제공합니다 AWS 소유 키.

차세대 Resilience Hub는 기본적으로 이러한 키를 사용하여 민감한 데이터를 자동으로 암호화합니다. 사용을 확인, 관리 또는 사용하거나 AWS 소유 키감사할 수 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 작업을 수행하거나 어떤 프로그램을 변경할 필요가 없습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk 섹션을 참조하세요.

이 암호화 계층을 비활성화하거나 대체 암호화 유형을 선택할 수는 없지만 서비스 리소스를 생성할 때 고객 관리형 키를 지정하여 두 번째 암호화 계층을 추가할 수 있습니다.

고객 관리형 키 차세대 Resilience Hub는 사용자가 생성, 소유 및 관리하는 대칭 암호화 고객 관리형 키의 사용을 지원합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
- 키 정책 수립 및 유지
- IAM 정책 및 권한 부여 수립 및 유지
- 키 정책 활성화 및 비활성화
- 키 암호화 자료 교체
- 태그 추가
- 키 별칭 만들기
- 삭제를 위한 스케줄 키
자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키를 참조하십시오.

다음 표에는 차세대 Resilience Hub가 민감한 데이터를 암호화하는 방법이 요약되어 있습니다.

차세대 Resilience Hub의 데이터 형식 암호화
데이터 유형	AWS 소유 키 암호화	고객 관리형 키 암호화(선택 사항)
`description` 서비스, 시스템 및 복원력 정책에 대한 설명입니다.	활성화됨	활성화됨
`finding` 평가 결과 이름, 설명, 추론 및 설명.	활성화됨	활성화됨
`recommendation` 권장 설명 및 결과와 관련된 제안된 변경 사항.	활성화됨	활성화됨
`serviceFunction` 서비스 함수 이름 및 설명입니다.	활성화됨	활성화됨
`assumption` 서비스 함수와 연결된 가정 텍스트입니다.	활성화됨	활성화됨
`userJourney` 사용자 여정 설명.	활성화됨	활성화됨
`event` 서비스 이벤트 로그 설명입니다.	활성화됨	활성화됨
`assessmentData` 토폴로지, 리소스 구성, Amazon S3에 저장된 작업 데이터를 포함하여 에이전트 평가 워크플로에서 생성된 중간 데이터입니다.	활성화됨	활성화됨
리소스 식별자 리소스 이름, ARNs, 리소스 유형 및 리전. 리소스 이름은 식별자 및 암호화 컨텍스트에 사용되며 민감한 데이터를 포함하지 않아야 합니다.	활성화됨	지원되지 않음

참고

차세대 Resilience Hub는 무료로를 사용하여 저장 시 암호화 AWS 소유 키 를 자동으로 활성화합니다. 그러나 고객 관리형 키 사용에는 AWS KMS 요금이 적용됩니다. 요금에 대한 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

중요

차세대 Resilience Hub는 대칭 암호화 KMS 키만 지원합니다. 다른 유형의 KMS 키를 사용하여 차세대 Resilience Hub 리소스를 암호화할 수 없습니다. KMS 키가 대칭 암호화 키인지 확인하는 데 도움이 필요하면 AWS Key Management Service 개발자 안내서의 대칭 및 비대칭 KMS 키 식별을 참조하세요.

에서 차세대 Resilience Hub가 권한 부여를 사용하는 방법 AWS KMS

비동기 평가 워크플로 중에 고객 관리형 키를 사용하려면 차세대 Resilience Hub에 권한 부여가 필요합니다.

고객 관리형 키로 서비스를 생성하면 차세대 Resilience Hub는 CreateGrant 요청을에 전송하여 사용자를 대신하여 권한 부여를 생성합니다 AWS KMS. 권한 부여는 서비스의 암호화 컨텍스트로 제한되며 다음 작업만 허용합니다.

Encrypt - 평가 워크플로 중에 생성된 결과, 권장 사항 및 가정과 같은 민감한 필드를 암호화합니다.
Decrypt - 평가 처리 중에 이전에 암호화된 데이터를 해독합니다.
GenerateDataKey - Amazon S3에 저장된 중간 평가 데이터를 암호화하기 위한 데이터 키를 생성합니다.

서비스를 삭제하면 권한 부여가 사용 중지됩니다. 권한 부여에 대한 액세스를 취소하거나 언제든지 고객 관리형 키에 대한 서비스의 액세스를 제거할 수도 있습니다. 이렇게 하면 차세대 Resilience Hub는 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 해당 데이터에 의존하는 API 작업 및 평가 워크플로에 영향을 미칩니다.

동기 API 작업(예: 서비스 생성 또는 업데이트)의 경우 차세대 Resilience Hub는 권한 부여 없이 직접 KMS 키에 대한 호출자의 권한을 사용합니다.

고객 관리형 키 생성

AWS Management Console 또는 AWS KMS APIs.

대칭 암호화 고객 관리형 키를 생성하려면

AWS Key Management Service 개발자 안내서의 대칭 암호화 KMS 키 만들기의 단계를 따르세요.

차세대 Resilience Hub에 대한 고객 관리형 키 지정

서비스, 시스템 또는 복원력 정책을 생성할 때 고객 관리형 키를 지정할 수 있습니다. KMS 키 ID를 제공하면 차세대 Resilience Hub는 해당 키를 사용하여 리소스와 연결된 모든 민감한 데이터를 암호화합니다.

다음 키 식별자 중 하나를 사용하여 키를 지정할 수 있습니다.

키 ID(예: 1234abcd-12ab-34cd-56ef-1234567890ab)
키 ARN(예: arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab)
별칭 이름(예: alias/my-key)
별칭 ARN(예: arn:aws:kms:us-west-2:111122223333:alias/my-key)

고객 관리형 키를 지정하려면 , CreateService CreateSystem또는 CreatePolicy API 작업을 호출할 때 kmsKeyId 파라미터를 사용합니다.

키 정책

키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키에 대한 액세스 관리를 참조하세요.

다음 키 정책은 차세대 Resilience Hub가 키를 사용하도록 허용합니다. 키가 특정 리소스에만 사용될 수 있도록 암호화 컨텍스트 조건을 사용하여 각 권한의 범위를 차세대 Resilience Hub에 필요한 작업으로만 지정합니다. CUSTOMER-ACCOUNT-ID, CUSTOMER-ROLE 및 REGION을 값으로 바꿉니다.


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AllowResilienceHubDescribeKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForServices",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:service/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForSystems",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:system-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:system/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForPolicies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:policy-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:policy/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubCreateGrantForAsyncWorkflows",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com",
                    "kms:GrantConstraintType": "EncryptionContextSubset"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:service/*"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Encrypt",
                        "Decrypt",
                        "GenerateDataKey"
                    ]
                }
            }
        }
    ]
}

정책 문은 다음과 같은 권한을 제공합니다.

AllowResilienceHubDescribeKey - 서비스 생성 중에 키를 지정할 때 차세대 Resilience Hub가 키가 존재하고 대칭 암호화 키인지 검증할 수 있도록 허용합니다.
AllowResilienceHubEncryptDecryptForServices - 동기 API 호출 중에 차세대 Resilience Hub가 서비스 수준 데이터(조사 결과, 권장 사항, 가정, 서비스 함수, 이벤트 및 평가 데이터)를 암호화하고 해독할 수 있습니다. 암호화 컨텍스트에 따라 서비스 리소스로 범위가 지정됩니다.
AllowResilienceHubEncryptDecryptForSystems – 동기 API 호출 중에 차세대 Resilience Hub가 시스템 수준 데이터(시스템 설명 및 사용자 여정 설명)를 암호화하고 해독할 수 있습니다. 암호화 컨텍스트에 따라 시스템 리소스로 범위가 지정됩니다.
AllowResilienceHubEncryptDecryptForPolicies - 동기 API 호출 중에 차세대 Resilience Hub가 정책 수준 데이터(탄력성 정책 설명)를 암호화하고 해독할 수 있도록 허용합니다. 암호화 컨텍스트에 따라 정책 리소스로 범위가 지정됩니다.
AllowResilienceHubCreateGrantForAsyncWorkflows – 차세대 Resilience Hub가 비동기 평가 워크플로에 대한 권한을 생성할 수 있도록 허용합니다. 권한 부여는 필요한 작업(암호화, 암호 해독, GenerateDataKey)으로만 제한되며 서비스 ARN에 바인딩된 암호화 컨텍스트 하위 집합 제약 조건을 포함해야 합니다.

정책에서의 권한 지정에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하십시오.

키 액세스 문제 해결에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하십시오.

차세대 Resilience Hub 암호화 컨텍스트

암호화 컨텍스트는 데이터에 대한 추가 컨텍스트 정보를 포함하는 선택적 키-값 페어 세트입니다.

AWS KMS 는 암호화 컨텍스트를 추가 인증 데이터로 사용하여 인증된 암호화를 지원합니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하면는 암호화 컨텍스트를 암호화된 데이터에 AWS KMS 바인딩합니다. 데이터를 복호화하려면 요청에 동일한 암호화 컨텍스트를 포함해야 합니다.

차세대 Resilience Hub 암호화 컨텍스트

차세대 Resilience Hub는 리소스 유형에 따라 다음과 같은 암호화 컨텍스트 키를 사용합니다.

암호화 컨텍스트 키
암호화 컨텍스트 키	Scope	사용 대상
`aws:resiliencehub:service-arn`	서비스	결과, 권장 사항, 가정, 서비스 함수, 종속성, 이벤트 및 평가 데이터
`aws:resiliencehub:system-arn`	시스템	시스템 설명 및 사용자 여정 설명
`aws:resiliencehub:policy-arn`	정책	복원력 정책 설명

서비스 수준 작업에 대한 암호화 컨텍스트의 예:


"encryptionContext": {
    "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123"
}

모니터링을 위한 암호화 컨텍스트 사용

대칭 암호화 고객 관리형 키를 사용하여 데이터를 암호화하는 경우 감사 레코드 및 로그의 암호화 컨텍스트를 사용하여 고객 관리형 키가 사용되는 방식을 식별할 수 있습니다. 암호화 컨텍스트는에서 생성된 로그에 나타납니다AWS CloudTrail.

암호화 컨텍스트를 사용하여 액세스 제어

키 정책 및 IAM 정책의 암호화 컨텍스트conditions를 로 사용하여 대칭 암호화 고객 관리형 키에 대한 액세스를 제어할 수 있습니다. 또한 권한 부여에서 암호화 컨텍스트 제약 조건을 사용할 수 있습니다.

차세대 Resilience Hub는 권한 부여에 암호화 컨텍스트 하위 집합 제약을 사용하여 비동기 워크플로가 권한 부여가 생성된 특정 서비스에 속하는 데이터만 암호화하고 해독할 수 있도록 합니다.

차세대 Resilience Hub의 암호화 키 모니터링

고객 관리형 키를 차세대 Resilience Hub 리소스와 함께 사용하는 경우 AWS CloudTrail를 사용하여 차세대 Resilience Hub가 보내는 요청을 추적할 수 있습니다 AWS KMS.

CreateGrant

고객 관리형 키로 서비스를 생성하면 차세대 Resilience Hub는 사용자를 대신하여 비동기 평가 워크플로가 키를 사용할 수 있도록 CreateGrant 요청을 보냅니다. 권한 부여는 서비스에 고유하며 암호화 컨텍스트에 의해 제한됩니다. 서비스를 삭제할 때 차세대 Resilience Hub는를 RetireGrant 사용하여 권한 부여를 제거합니다.

다음 예제 이벤트는 CreateGrant 작업을 기록합니다.


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T10:07:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "resiliencehub.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "retiringPrincipal": "resiliencehub.amazonaws.com",
        "operations": [
            "Decrypt",
            "GenerateDataKey",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123"
            }
        }
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "56d4e434-abb6-4dd7-8558-ad38560d03b1",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKey

차세대 Resilience Hub는 고객 관리형 키를 사용하여 데이터를 암호화할 때 데이터 키를 생성하라는 GenerateDataKey 요청을 보냅니다. 이는 동기 API 호출(예: 설명이 포함된 서비스 생성)과 비동기 평가 워크플로 모두에서 발생합니다.

다음 예제 이벤트는 GenerateDataKey 작업을 기록합니다.


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T11:18:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "numberOfBytes": 32,
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionContext": {
            "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123",
            "aws-crypto-public-key": "AwAnnorjRE+DFQYIuDKjGEvlXwro5Rdiegk8flmq7m0N..."
        }
    },
    "responseElements": null,
    "requestID": "c5bedc9b-e6d6-45f8-b121-c9851a3d718a",
    "eventID": "e839a7ed-e4a9-32a3-b92a-2c7237a40c82",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Decrypt

API 작업을 통해 리소스를 검색하거나 평가 워크플로가 이전에 저장된 데이터를 처리할 때 차세대 Resilience Hub는 데이터 복호화 Decrypt 요청을 보냅니다.

다음 예제 이벤트는 Decrypt 작업을 기록합니다.


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T11:27:49Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123",
            "aws-crypto-public-key": "A/9P3BC05WjeQONZR1fBiEqWKEse/Yk1lMxd2VIh2ED5..."
        }
    },
    "responseElements": null,
    "requestID": "30f8e9bc-4e0a-4359-8bc3-8278ef42c206",
    "eventID": "195ef070-c952-4c28-9883-29bca297a08c",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

DescribeKey

차세대 Resilience Hub는 서비스와 연결된 고객 관리형 키가 계정 및 리전에 존재하고 유효한 대칭 암호화 키인지 확인하는 DescribeKey 요청을 보냅니다.

다음 예제 이벤트는 DescribeKey 작업을 기록합니다.


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T10:07:13Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "responseElements": null,
    "requestID": "e427932c-448b-49aa-88e1-b311c27ba753",
    "eventID": "48c596a5-83c7-4603-b0cf-be0ff2548623",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

자세히 알아보기

다음 리소스에서 키에 대한 추가 정보를 확인할 수 있습니다.

AWS Key Management Service 기본 개념에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.
의 보안 모범 사례에 대한 AWS Key Management Service 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

저장 시 암호화

전송 중 암호화