기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# IAM Identity Center에서의 데이터 보호
AWS [공동 책임 모델은](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS IAM Identity Center의 데이터 보호에 적용됩니다. 이 모델에 설명된 대로 AWS 는 모든 클라우드를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS . 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 또한 사용하는 AWS 서비스의 보안 구성 및 관리 작업에 대한 책임이 있습니다. 데이터 프라이버시에 대한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS Security Blog*의 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ IAM Identity Center에 다중 인증(MFA)을 사용합니다..
+ TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) 참조하세요.
+ 서비스 내의 AWS 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그 또는 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 또는 기타 AWS 서비스에서 콘솔 AWS IAM Identity Center, API AWS CLI또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다.
## 전송 중 암호화
IAM Identity Center는 Transport Layer Security(TLS) 1.2 또는 TLS 1.3 암호화 프로토콜을 사용하여 모든 네트워크 간 데이터를 자동으로 암호화해 서비스를 오가는 전송 중 데이터를 보호합니다. IAM으로 인증되고 IAM Identity Center API, Identity Store API 또는 OIDC API로 전송되는 직접 HTTPS 요청은 [AWS 서명 버전 4 알고리즘](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html)을 통해 서명되어 보안 연결을 설정합니다.
## 데이터 개인정보보호
IAM Identity Center를 사용하면 조직의 데이터에 대한 제어권을 유지할 수 있습니다. IAM Identity Center에 저장된 사용자 및 그룹 자격 증명은 IAM Identity Center에서 활성화한 경우에만 [AWS 관리형 애플리케이션](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps.html)과 같은 다른 AWS 서비스와 공유되며 해당 서비스에서 필요한 경우에만 공유됩니다.
자세한 내용은 [AWS 데이터 개인정보 보호 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요.
## 데이터 보존
IAM Identity Center는 서비스에서 삭제할 때까지 사용자 및 그룹 자격 증명, 메타데이터와 같은 데이터를 저장합니다. IAM Identity Center 인스턴스를 삭제하면 해당 인스턴스에 포함된 데이터도 삭제됩니다.
# 저장 시 암호화
IAM Identity Center는 다음 키 유형을 사용하여 저장된 고객 데이터를 보호하기 위한 암호화를 제공합니다.
+ **AWS 소유 키 (기본 키 유형)** - IAM Identity Center는 기본적으로 이러한 키를 사용하여 데이터를 자동으로 암호화합니다. 다른 목적으로는 키를 보거나, 관리하거나, 감사하거나, AWS 소유 키를 사용할 수 없습니다. IAM Identity Center는 조치를 취하지 않고도 키 관리를 완전히 처리하여 데이터를 안전하게 유지합니다. 자세한 내용은 [https://docs.aws.amazon.com/kms/latest/developerguide/overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)의 [AWS 소유 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)를 참조하세요.
+ **고객 관리형 키** - IAM Identity Center의 조직 인스턴스에서 사용자 및 그룹 속성과 같은 인력 자격 증명 데이터에서 저장 암호화할 대칭 고객 관리형 키를 선택할 수 있습니다. 사용자는 이러한 암호화 키를 생성하고 소유 및 관리합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키에 대한 액세스를 IAM Identity Center 및 같은 액세스가 필요한 IAM 보안 주체와 [AWS 관리형 애플리케이션](awsapps.md) 동일한 AWS Organizations 및 관리자로 제한하는 키 정책을 수립하고 유지 관리합니다.
+ 교차 계정 액세스를 포함하여 키에 액세스하기 위한 IAM 정책 설정 및 유지 관리
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+ 키 액세스가 필요한 데이터에 대한 액세스 감사
+ 태그 추가
+ 키 별칭 만들기
+ 삭제를 위한 스케줄 키
IAM Identity Center에서 고객 관리형 KMS 키를 구현하는 방법을 알아보려면 [에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center](identity-center-customer-managed-keys.md) 섹션을 참조하세요. 고객 관리형 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하세요.
**참고**
IAM Identity Center는 AWS 소유 KMS 키를 사용하여 저장 데이터 암호화를 자동으로 활성화하여 고객 데이터를 무료로 보호합니다. 그러나 고객 관리형 키를 사용할 때는 AWS KMS 요금이 적용됩니다. 요금에 대한 자세한 내용은 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/)을 참조하십시오.
**고객 관리형 키 구현 시 고려 사항:**
+ **전용 키**: 기존 키를 재사용하는 대신 각 IAM Identity Center 인스턴스에 대해 새로운 전용 고객 관리형 KMS 키를 생성하는 것이 좋습니다. 이 접근 방식은 보다 명확한 업무 분리를 제공하고, 액세스 제어 관리를 간소화하며, 보안 감사를 보다 간단하게 만듭니다. 전용 키를 사용하면 키 변경의 영향을 단일 IAM Identity Center 인스턴스로 제한하여 위험을 줄일 수도 있습니다.
+ **여러에서 IAM Identity Center 사용 AWS 리전**: IAM Identity Center 인스턴스를 추가에 복제하려는 경우 유휴 시 암호화에 고객 관리형 KMS 키를 사용해야 AWS 리전합니다. 다중 리전 IAM Identity Center에서는 기본 AWS 소유 KMS 키 유형이 지원되지 않습니다. 자세한 내용은 [여러에서 IAM Identity Center 사용 AWS 리전](multi-region-iam-identity-center.md) 단원을 참조하십시오.
**참고**
IAM Identity Center는 인력 자격 증명 데이터의 암호화에 [봉투 암호화](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#envelope-encryption)를 사용합니다. KMS 키는 실제로 데이터를 암호화하는 데 사용되는 데이터 키를 암호화하는 래핑 키의 역할을 합니다.
AWS KMS에 대한 자세한 내용은 [AWS Key Management Service란 무엇입니까?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)를 참조하세요.
## IAM Identity Center 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)는 데이터에 대한 추가 컨텍스트 정보가 포함된 비밀이 아닌 키-값 페어의 선택적 집합입니다.는 암호화 컨텍스트를 추가 인증된 데이터로 AWS KMS 사용하여 인증된 암호화를 지원합니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하면는 암호화 컨텍스트를 암호화된 데이터에 AWS KMS 바인딩합니다. 요청에 동일한 암호화 컨텍스트를 포함해야 이 데이터를 해독할 수 있습니다. 암호화 컨텍스트에 대한 자세한 내용은 [AWS KMS 개발자 가이드](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)를 참조하세요.
IAM Identity Center는 aws:sso:instance-arn, aws:identitystore:identitystore-arn 및 tenant-key-id의 암호화 컨텍스트 키를 사용합니다. 예를 들어 다음 암호화 컨텍스트는 IAM Identity Center AWS KMS API에서 호출한 API 작업에 나타날 수 있습니다. [https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)
```
"encryptionContext": {
"tenant-key-id": "ssoins-1234567890abcdef",
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
다음 암호화 컨텍스트는 [Identity Store](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) AWS KMS API에서 호출한 API 작업에 나타날 수 있습니다.
```
"encryptionContext": {
"tenant-key-id": "12345678-1234-1234-1234-123456789012",
"aws:identitystore:identitystore-arn": "arn:aws:identitystore::123456789012:identitystore/d-1234567890"
}
```
## 암호화 컨텍스트를 사용하여 고객 관리형 키에 대한 액세스 제어
그러나 키 정책 및 IAM 정책에서 암호화 컨텍스트를 조건으로 사용하여 대칭형 고객 관리형 키에 대한 액세스를 제어할 수도 있습니다. [고급 KMS 키 정책 설명](advanced-kms-policy.md)의 일부 키 정책 템플릿에는 키가 특정 IAM Identity Center 인스턴스에서만 사용되도록 하기 위한 이러한 조건이 포함되어 있습니다.
## IAM Identity Center에 대한 암호화 키 모니터링
고객 관리형 키를 IAM Identity Center 인스턴스와 함께 사용하면 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 또는 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)를 사용하여 IAM Identity Center에서 AWS KMS로 보내는 요청을 추적할 수 있습니다. IAM Identity Center에서 호출하는 KMS API 작업은 [2단계: KMS 키 정책 설명 준비](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements)에 나열되어 있습니다. 이러한 API 작업에 대한 CloudTrail 이벤트에는 암호화 컨텍스트가 포함되어 있으므로 IAM Identity Center 인스턴스에서 호출한 AWS KMS API 작업을 모니터링하여 고객 관리형 키로 암호화된 데이터에 액세스할 수 있습니다.
AWS KMS API 작업의 CloudTrail 이벤트에서 암호화 컨텍스트의 예:
```
{
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-xxxxxxxxxxxxxxxx",
"tenant-key-id": "ssoins-xxxxxxxxxxxxxxxx"
}
}
}
```
## AWS 관리형 애플리케이션의 IAM Identity Center ID 속성 스토리지, 암호화 및 삭제
AWS Systems Manager 및 Amazon CodeCatalyst AWS IAM Identity Center와 같이 배포하는 일부 AWS 관리형 애플리케이션은 IAM Identity Center의 특정 사용자 및 그룹 속성을 자체 데이터 스토어에 저장합니다. IAM Identity Center의 고객 관리형 KMS 키를 사용한 저장 시 암호화는 AWS 관리형 애플리케이션에 저장된 IAM Identity Center 사용자 및 그룹 속성으로 확장되지 않습니다. AWS 관리형 애플리케이션은 저장하는 데이터에 대해 다양한 암호화 방법을 지원합니다. 마지막으로 IAM Identity Center 내에서 사용자 및 그룹 속성을 삭제하면 이러한 AWS 관리형 애플리케이션은 삭제 후에도이 정보를 IAM Identity Center에 계속 저장할 수 있습니다. 애플리케이션 내에 저장된 데이터의 암호화 및 보안은 AWS 관리형 애플리케이션의 사용 설명서를 참조하세요.
# 에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center
고객 관리형 키는 사용자가 생성, 소유 및 관리하는 AWS Key Management Service 키입니다. AWS IAM Identity Center에서 저장 시 암호화를 위한 고객 관리형 KMS 키를 구현하려면 다음 단계를 따르세요.
**중요**
일부 AWS 관리형 애플리케이션은 고객 관리형 KMS 키로 구성된 AWS IAM Identity Center와 함께 사용할 수 없습니다. [AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션](awsapps-that-work-with-identity-center.md)을(를) 참조하세요.
1. [1단계: 조직의 사용 사례 식별](#identify-use-cases) - KMS 키 사용에 대한 올바른 권한을 정의하려면 조직 전체에서 관련 사용 사례를 식별해야 합니다. KMS 키 권한은 적절한 IAM 위탁자가 특정 사용 사례에 KMS 키를 사용할 수 있도록 KMS 키 정책 설명과 자격 증명 기반 정책으로 구성됩니다.
1. [2단계: KMS 키 정책 설명 준비](#choose-kms-key-policy-statements) - 1단계에서 식별된 사용 사례를 기반으로 관련 KMS 키 정책 설명 템플릿을 선택하고 필수 식별자와 IAM 위탁자 이름을 입력합니다. 기본 KMS 키 정책 설명으로 시작하고 보안 정책에 필요한 경우 고급 KMS 키 정책 설명에 설명된 대로 세분화합니다.
1. [3단계: 고객 관리형 키 만들기](#create-customer-managed-kms-key) - IAM Identity Center 요구 사항을 충족하는 KMS에서 AWS KMS 키를 생성하고 2단계에서 준비한 KMS 키 정책 설명을 KMS 키 정책에 추가합니다.
1. [4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](#configure-iam-policies-kms-key) - 1단계에서 식별된 사용 사례를 기반으로 관련 IAM 정책 설명 템플릿을 선택하고 키 ARN을 입력하여 사용할 준비를 합니다. 그런 다음 준비된 IAM 정책 설명을 위탁자의 IAM 정책에 추가하여 각 특정 사용 사례에 대한 IAM 위탁자가 계정 간에 KMS 키를 사용하도록 허용합니다.
1. [5단계: IAM Identity Center에서 KMS 키 구성](#configure-kms-key-in-iam-identity-center) - IAM Identity Center 인스턴스에서 고객 관리형 KMS 키를 활성화하여 저장 암호화에 사용합니다.
## 1단계: 조직의 사용 사례 식별
고객 관리형 KMS 키를 생성하고 구성하기 전에 사용 사례를 식별하고 필요한 KMS 키 권한을 준비합니다. KMS 키 정책에 대한 자세한 내용은 [AWS KMS 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)를 참조하세요.
IAM Identity Center 서비스 API를 호출하는 IAM 위탁자에는 권한이 필요합니다. 예를 들어 위임된 관리자는 권한 세트 정책을 통해 이러한 API를 사용할 수 있는 권한을 부여받을 수 있습니다. IAM Identity Center가 고객 관리형 키로 구성된 경우 IAM 위탁자는 IAM Identity Center 서비스 API를 통해 KMS API를 사용할 수 있는 권한도 있어야 합니다. KMS 키 정책과 IAM 위탁자와 연결된 IAM 정책의 두 위치에서 이러한 KMS API 권한을 정의합니다.
KMS 키 권한은 다음으로 구성됩니다.
1. [3단계: 고객 관리형 키 만들기](#create-customer-managed-kms-key)에서 생성하는 동안 KMS 키에 지정하는 KMS 키 정책 설명.
1. KMS 키를 생성한 후 [4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](#configure-iam-policies-kms-key)에서 지정하는 IAM 위탁자에 대한 IAM 정책 설명.
다음 표에서는 KMS 키를 사용할 수 있는 권한이 필요한 관련 사용 사례 및 IAM 위탁자를 지정합니다.
| 사용 사례: | KMS 키를 사용할 수 있는 권한이 필요한 IAM 위탁자 | 필수/선택 |
| --- | --- | --- |
| AWS IAM Identity Center 사용 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | 필수 |
| IAM Identity Center에서 AWS 관리형 애플리케이션 사용 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | 선택 사항 |
| 활성화된 AWS IAM Identity Center 인스턴스 AWS Control Tower 에서 사용 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | 선택 사항 |
| AWS IAM Identity Center를 사용하여 Amazon EC2 인스턴스로 SSO | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | 선택 사항 |
| 고객 관리형 애플리케이션, 권한 세트 프로비저닝 워크플로 또는 AWS Lambda 함수와 같은 IAM 위탁자를 통해 IAM Identity Center 서비스 API를 호출하는 기타 사용 사례 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html) | 선택 사항 |
**참고**
테이블에 나열된 여러 IAM 보안 주체에는 AWS KMS API 권한이 필요합니다. 그러나 IAM Identity Center에서 사용자 및 그룹 데이터를 보호하기 위해 IAM Identity Center 및 Identity Store 서비스만 AWS KMS API를 직접 호출합니다.
## 2단계: KMS 키 정책 설명 준비
조직과 관련된 사용 사례를 식별한 후 해당 KMS 키 정책 설명을 준비할 수 있습니다.
1. 조직의 사용 사례와 일치하는 KMS 키 정책 설명을 선택합니다. 기준 정책 템플릿으로 시작합니다. 보안 요구 사항에 따라 더 구체적인 정책이 필요한 경우 [고급 KMS 키 정책 설명](advanced-kms-policy.md)의 예제를 사용하여 정책 설명을 수정할 수 있습니다. 이 결정에 대한 지침은 [기준 및 고급 KMS 키 정책 설명 선택 시 고려 사항](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline) 섹션을 참조하세요. 또한 [기준 KMS 키 및 IAM 정책 설명](baseline-KMS-key-policy.md)의 각 기준 섹션에는 관련 고려 사항이 포함되어 있습니다.
1. 관련 정책을 편집기에 복사하고 KMS 키 정책 설명에 필요한 식별자와 IAM 위탁자 이름을 삽입합니다. 참조된 식별자의 값을 찾는 데 도움이 필요하면 [필요한 식별자를 찾을 수 있는 위치](#find-the-required-identifiers) 섹션을 참조하세요.
다음은 각 사용 사례에 대한 기준 정책 템플릿입니다. KMS 키를 사용하려면 AWS IAM Identity Center에 대한 첫 번째 권한 세트만 필요합니다. 사용 사례별 추가 정보는 해당 하위 섹션을 검토하는 것이 좋습니다.
+ [IAM Identity Center 사용에 대한 기준 KMS 키 정책 설명(필수)](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-iam-identity-center-mandatory)
+ [AWS 관리형 애플리케이션 사용을 위한 기준 KMS 키 및 IAM 정책 설명](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications)
+ [사용을 위한 기준 KMS 키 문 AWS Control Tower](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-specific-use-cases)
+ [IAM Identity Center를 Amazon EC2 인스턴스에 사용하기 위한 기준 KMS 키 및 IAM 정책 설명](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-sso-to-amazon-ec2-windows-instances)
+ [IAM Identity Center에서 사용자 지정 워크플로를 사용하기 위한 기준 KMS 키 및 IAM 정책 설명](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**중요**
IAM Identity Center에서 이미 사용 중인 키에 대한 KMS 키 정책을 수정할 때는 주의해야 합니다. IAM Identity Center는 KMS 키를 처음 구성할 때 암호화 및 복호화 권한을 검증하지만 후속 정책 변경을 확인할 수 없습니다. 필요한 권한을 실수로 제거하면 IAM Identity Center의 정상 작동이 중단될 수 있습니다. IAM Identity Center의 고객 관리형 키와 관련된 일반적인 오류를 해결하는 지침은 [에서 고객 관리형 키 문제 해결 AWS IAM Identity Center](cmk-related-errors.md) 섹션을 참조하세요.
**참고**
IAM Identity Center 및 연관된 Identity Store에서 고객 관리형 KMS 키를 사용하려면 서비스 수준 권한이 필요합니다. 이 요구 사항은 서비스 자격 증명을 사용하여 IAM Identity Center 서비스 APIs를 호출하는 AWS 관리형 애플리케이션으로 확장됩니다. IAM Identity Center 서비스 API가 [전달 액세스 세션](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)과 함께 호출되는 다른 사용 사례의 경우, 시작하는 IAM 위탁자(예: 관리자)만 KMS 키 권한이 필요합니다. 특히 AWS 액세스 포털 및 AWS 관리형 애플리케이션을 사용하는 최종 사용자는 각 서비스를 통해 부여되므로 직접 KMS 키 권한이 필요하지 않습니다.
## 3단계: 고객 관리형 키 만들기
AWS Management Console 또는 KMS API를 사용하여 고객 관리형 AWS 키를 생성할 수 있습니다. APIs 키를 생성하는 동안 2단계에서 준비한 KMS 키 정책 설명을 KMS 키 정책에 추가합니다. 기본 KMS 키 정책에 대한 지침을 포함한 자세한 지침은 [AWS Key Management Service 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/)를 참조하세요.
키는 다음 요구 사항을 충족해야 합니다.
+ KMS 키는 IAM Identity Center 인스턴스와 동일한 AWS 리전에 있어야 합니다.
+ 단일 리전 또는 다중 리전 키 중에서 선택할 수 있습니다. 그러나 여러 AWS 리전 에서 IAM Identity Center를 사용하려는 경우 다중 리전 KMS 키를 생성해야 합니다. 단일 리전 KMS 키를 다중 리전 KMS 키로 변환할 수 없으므로 단일 리전 KMS 키를 사용해야 하는 특정 요구 사항이 없는 한 다중 리전 KMS 키로 시작하는 것이 좋습니다.
+ KMS 키는 "암호화 및 복호화" 사용에 대해 구성된 대칭 키여야 함
+ KMS 키는 IAM Identity Center의 조직 인스턴스와 동일한 AWS Organizations 관리 계정에 있어야 합니다.
**참고**
IAM Identity Center를 복제하려는 리전에이 KMS 키를 복제하려는 경우 먼저이 섹션의 설정을 완료한 다음의 지침을 따르는 것이 좋습니다. [IAM Identity Center를 추가 리전에 복제](replicate-to-additional-region.md)
## 4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성
IAM Identity Center 위임된 관리자와 같이 다른 AWS 계정의 IAM Identity Center 서비스 APIs를 사용하는 모든 IAM 보안 주체에는 이러한 APIs를 통해 KMS 키를 사용할 수 있도록 허용하는 IAM 정책 설명도 필요합니다.
1단계에서 식별된 각 사용 사례의 경우:
1. 기준 KMS 키 및 IAM 정책 설명에서 관련 IAM 정책 설명 템플릿을 찾습니다.
1. 템플릿을 편집기에 복사하고 3단계에서 KMS 키를 생성한 후 사용할 수 있는 키 ARN을 입력합니다. 키 ARN을 찾는 방법에 대한 도움말은 [필요한 식별자를 찾을 수 있는 위치](#find-the-required-identifiers) 섹션을 참조하세요.
1. 에서 사용 사례와 연결된 IAM 보안 주체의 IAM 정책을 AWS Management Console찾습니다. 이 정책의 위치는 사용 사례와 액세스 권한 부여 방법에 따라 달라집니다.
+ IAM에서 직접 부여된 액세스의 경우 IAM 콘솔에서 IAM 역할과 같은 IAM 위탁자를 찾을 수 있습니다.
+ IAM Identity Center를 통해 부여된 액세스의 경우 IAM Identity Center 콘솔에서 관련 권한 세트를 찾을 수 있습니다.
1. 사용 사례별 IAM 정책 설명을 IAM 역할에 추가하고 변경 사항을 저장합니다.
**참고**
여기에 설명된 IAM 정책은 자격 증명 기반 정책입니다. 이러한 정책은 IAM 사용자, 그룹 및 역할에 연결할 수 있지만 가능하면 IAM 역할을 사용하는 것이 좋습니다. IAM 역할 및 IAM 사용자에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요.
### 일부 AWS 관리형 애플리케이션의 추가 구성
일부 AWS 관리형 애플리케이션은 애플리케이션이 IAM Identity Center 서비스 APIs. 조직에서 IAM Identity Center와 함께 AWS 관리형 애플리케이션을 사용하는 경우 배포된 각 애플리케이션에 대해 다음 단계를 완료합니다.
1. IAM Identity Center에서 애플리케이션을 사용하기 위한 KMS 키 관련 권한을 포함하도록 권한이 업데이트되었는지 확인하려면 애플리케이션의 사용 설명서를 참조하세요.
1. 그런 경우 애플리케이션 사용 설명서의 지침에 따라 권한을 업데이트하여 애플리케이션 작업이 중단되지 않도록 합니다.
**참고**
AWS 관리형 애플리케이션이 이러한 권한을 사용하는지 확실하지 않은 경우 배포된 모든 AWS 관리형 애플리케이션의 사용 설명서를 확인하는 것이 좋습니다. 이 구성은 구성이 필요한 각 애플리케이션에 대해 한 번만 수행하면 됩니다.
## 5단계: IAM Identity Center에서 KMS 키 구성
**중요**
이 단계를 진행하기 전에:
AWS 관리형 애플리케이션이 고객 관리형 KMS 키와 호환되는지 확인합니다. 호환되는 애플리케이션 목록은 [IAM Identity Center와 함께 사용할 수 있는AWS 관리형 애플리케이션](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html)을 참조하세요. 호환되지 않는 애플리케이션이 있는 경우 진행하지 마세요.
KMS 키 사용에 필요한 권한을 구성합니다. 적절한 권한이 없으면 이 단계가 실패하거나 IAM Identity Center 관리, AWS 관리형 애플리케이션 사용 및 KMS 키 권한이 필요한 기타 사용 사례를 방해할 수 있습니다. 자세한 내용은 [1단계: 조직의 사용 사례 식별](#identify-use-cases) 단원을 참조하십시오.
IAM 역할을 가진 IAM Identity Center 서비스 APIs 호출하는 AWS 관리형 애플리케이션 및 고객 관리형 애플리케이션에 대한 권한도 IAM Identity Center 서비스 APIs를 통해 KMS 키를 사용할 수 있도록 허용하는지 확인합니다. 일부 AWS 관리형 애플리케이션은 이러한 APIs. 배포된 각 AWS 관리형 애플리케이션의 사용 설명서를 참조하여 특정 KMS 키 권한을 추가해야 하는지 확인합니다.
### IAM Identity Center의 새 조직 인스턴스를 활성화할 때 KMS 키 지정
IAM Identity Center의 새 조직 인스턴스를 활성화할 때 설정 중에 고객 관리형 KMS 키를 지정할 수 있습니다. 이를 통해 인스턴스가 처음부터 저장 암호화에 키를 사용할 수 있습니다. 시작하기 전에 [고객 관리형 KMS 키 및 고급 KMS 키 정책에 대한 고려 사항](considerations-for-customer-managed-kms-keys-advanced.md) 섹션을 참조하세요.
1. **IAM Identity Center 활성화** 페이지에서 **저장 암호화** 섹션을 확장합니다.
1. **Manage Encryption(암호화 관리)**을 선택합니다.
1. **고객 관리형 키**를 선택합니다.
1. **KMS 키**에 대해 다음 중 하나를 수행합니다.
1. **KMS 키에서 선택**을 선택하고 드롭다운 목록에서 생성한 키를 선택합니다.
1. **KMS 키 ARN 입력**을 선택하고 키의 전체 ARN을 입력합니다.
1. **저장**을 선택합니다.
1. **활성화**를 선택하여 설정을 완료합니다.
자세한 내용은 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)를 참조하세요.
### IAM Identity Center의 기존 조직 인스턴스에 대한 키 구성 변경
언제든지 고객 관리형 KMS 키를 다른 키로 변경하거나 AWS 소유 키로 전환할 수 있습니다.
------
#### [ Console ]
**KMS 키 구성 변경**
1. [ https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) IAM Identity Center 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **추가 설정** 탭으로 이동합니다.
1. **암호화 관리**를 선택합니다.
1. 다음 중 하나를 선택합니다.
1. **고객 관리형 키** - 드롭다운에서 다른 고객 관리형 키를 선택하거나 새 키 ARN을 입력합니다.
1. **AWS 소유 키** - 기본 암호화 옵션으로 전환합니다.
1. **저장**을 선택합니다.
------
#### [ AWS CLI ]
**KMS 고객 관리형 키를 사용하도록 IAM Identity Center의 기존 조직 인스턴스 변경**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration \
KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
** AWS 소유 키를 사용하도록 IAM Identity Center의 기존 조직 인스턴스 변경**
```
aws sso-admin update-instance \
--instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
--encryption-configuration KeyType=AWS_OWNED_KMS_KEY
```
------
**고객 관리형 주요 고려 사항**
+ IAM Identity Center 작업에 대한 KMS 키 구성을 업데이트해도 IAM Identity Center의 활성 사용자 세션에는 영향을 미치지 않습니다. 이 프로세스 중에 AWS 액세스 포털, IAM Identity Center 콘솔 및 IAM Identity Center 서비스 APIs를 계속 사용할 수 있습니다.
+ 새 KMS 키로 전환할 때 IAM Identity Center는 암호화 및 복호화에 키를 성공적으로 사용할 수 있는지 확인합니다. 키 정책 또는 IAM 정책을 설정하는 동안 실수를 한 경우 콘솔에 설명 오류 메시지가 표시되고 이전 KMS 키는 계속 사용됩니다.
+ 기본 연간 KMS 키 교체는 자동으로 수행됩니다. [키 교체](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), [AWS KMS 키 모니터링](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html), [키 삭제에 대한 액세스 제어](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html) 등의 주제에 대한 자세한 내용은 [AWS KMS 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)를 참조하세요.
**중요**
잘못된 KMS 키 정책으로 인해 IAM Identity Center 인스턴스에서 사용 중인 고객 관리형 KMS 키가 삭제, 비활성화 또는 액세스할 수 없는 경우 인력 사용자와 IAM Identity Center 관리자는 IAM Identity Center를 사용할 수 없습니다. 액세스 손실은 상황에 따라 일시적(키 정책을 수정할 수 있음)이거나 영구적(삭제된 키를 복원할 수 없음)일 수 있습니다. KMS 키 삭제 또는 비활성화와 같은 중요한 작업에 대한 [액세스를 제한](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html)하는 것이 좋습니다. 또한 IAM Identity Center에 [AWS 액세스할 수 없는 경우 권한이 있는 사용자가에 액세스할 수 있도록 조직에서 휴지통 액세스 절차를](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) 설정하는 것이 좋습니다. AWS
## 필요한 식별자를 찾을 수 있는 위치
고객 관리형 KMS 키에 대한 권한을 구성할 때 키 정책 및 IAM 정책 설명 템플릿을 완료하려면 특정 AWS 리소스 식별자가 필요합니다. KMS 키 정책 설명에 필수 식별자(예: 조직 ID) 및 IAM 위탁자 이름을 삽입합니다.
다음은 AWS 관리 콘솔에서 이러한 식별자를 찾기 위한 가이드입니다.
**IAM Identity Center Amazon 리소스 이름(ARN) 및 Identity Store ARN**
IAM Identity Center 인스턴스는 arn:aws:sso:::instance/ssoins-1234567890abcdef와 같은 고유한 ARN이 있는 AWS 리소스입니다. ARN은 서비스 승인 참조의 IAM Identity Center 리소스 유형 섹션에 설명된 패턴을 따릅니다.
모든 IAM Identity Center 인스턴스에는 사용자 및 그룹 자격 증명을 저장하는 연관된 Identity Store가 있습니다. Identity Store에는 Identity Store ID(예: d-123456789a)라는 고유 식별자가 있습니다. ARN은 [서비스 승인 참조](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html)의 Identity Store 리소스 유형 섹션에 설명된 패턴을 따릅니다.
IAM Identity Center의 설정 페이지에서 ARN 및 Identity Store ID 값을 모두 찾을 수 있습니다. Identity Store ID는 자격 증명 소스 탭에 있습니다.
**AWS Organizations ID**
키 정책에서 조직 ID(예: o-exampleorg1)를 지정하려면 IAM Identity Center 및 Organizations 콘솔의 설정 페이지에서 해당 값을 찾을 수 있습니다. ARN은 서비스 승인 참조의 조직 리소스 유형 섹션에 설명된 패턴을 따릅니다.
**KMS 키 ARN**
AWS KMS 콘솔에서 KMS 키의 ARN을 찾을 수 있습니다. 왼쪽에서 고객 관리형 키를 선택하고 ARN을 조회하려는 키를 클릭하면 일반 구성 섹션에 표시됩니다. ARN은 서비스 승인 참조의 AWS KMS 리소스 유형 섹션에 설명된 패턴을 따릅니다.
의 키 정책 AWS KMS 및 문제 해결 AWS KMS 권한에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요. IAM 정책 및 해당 JSON 표현에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요.
# 기준 KMS 키 및 IAM 정책 설명
여기에 제공된 기본 KMS 키 및 자격 증명 기반 정책은 공통 요구 사항의 기반 역할을 합니다. 또한 특정 IAM Identity Center 인스턴스 또는 AWS 관리형 애플리케이션에서만 KMS 키에 액세스할 수 있는지 확인하는 등 보다 세분화된 액세스 제어를 제공하는 [고급 KMS 키 정책 설명](advanced-kms-policy.md)를 검토하는 것이 좋습니다. 고급 KMS 키 정책 설명을 사용하기 전에 [기준 및 고급 KMS 키 정책 설명 선택 시 고려 사항](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline) 섹션을 검토합니다.
다음 섹션에서는 각 사용 사례에 대한 기준 정책 설명을 제공합니다. 사용 사례에 맞는 섹션을 확장하고 KMS 키 정책 설명을 복사합니다. 그런 다음 로 돌아갑니다[2단계: KMS 키 정책 설명 준비](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements).
## IAM Identity Center 사용에 대한 기준 KMS 키 정책 설명(필수)
[2단계: KMS 키 정책 설명 준비](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements)에서 다음 KMS 키 정책 설명 템플릿을 사용하여 IAM Identity Center, 연관된 Identity Store 및 IAM Identity Center 관리자가 KMS 키를 사용하도록 허용합니다.
+ 관리자 정책 설명의 보안 주체 요소에서 "arn:aws:iam::111122223333:root" 형식을 사용하여 AWS 조직 관리 계정 및 위임된 관리 계정인 IAM Identity Center 관리 계정의 계정 보안 주체를 지정합니다 AWS .
+ PrincipalArn 요소에서 예제 ARN을 IAM Identity Center 관리자의 IAM 역할로 바꿉니다.
다음 중 하나를 지정할 수 있습니다.
+ 특정 IAM 역할 ARN:
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_12345678"`
+ 와일드카드 패턴(권장):
` "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/ap-southeast-2/AWSReservedSSO_permsetname_*"`
Identity Center는 다시 생성된 권한 세트에 대한 새 고유 식별자를 생성하므로 와일드카드(`*`)를 사용하면 권한 세트를 삭제하고 다시 생성할 때 액세스 손실을 방지할 수 있습니다. 구현 예제는 섹션을 참조[사용자 지정 신뢰 정책 예](referencingpermissionsets.md#custom-trust-policy-example)하세요.
+ SourceAccount 요소에서 IAM Identity Center 계정 ID를 지정합니다.
+ Identity Store에는 KMS 키를 사용할 수 있어야 하는 자체 서비스 위탁자 `identitystore.amazonaws.com`이 있습니다.
+ 이러한 정책 설명을 통해 특정 AWS 계정의 IAM Identity Center 인스턴스가 KMS 키를 사용할 수 있습니다. 특정 IAM Identity Center 인스턴스에 대한 액세스를 제한하려면 [고급 KMS 키 정책 설명](advanced-kms-policy.md) 섹션을 참조하세요. 각 AWS 계정에 대해 IAM Identity Center 인스턴스를 하나만 가질 수 있습니다.
KMS 키 정책 설명
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
[4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)에서 다음 IAM 정책 설명 템플릿을 사용하여 IAM Identity Center 관리자가 KMS 키를 사용하도록 허용합니다.
+ `Resource` 요소의 예제 키 ARN을 실제 KMS 키 ARN으로 바꿉니다. 참조된 식별자의 값을 찾는 데 도움이 필요하면 [필요한 식별자를 찾을 수 있는 위치](identity-center-customer-managed-keys.md#find-the-required-identifiers) 섹션을 참조하세요.
+ 이러한 IAM 정책 문은 KMS 키에 IAM 보안 주체에 대한 액세스 권한을 부여하지만 어떤 AWS 서비스가 요청할 수 있는지는 제한하지 않습니다. KMS 키 정책은 일반적으로 이러한 서비스 제한을 제공합니다. 그러나 이 IAM 정책에 암호화 컨텍스트를 추가하여 특정 Identity Center 인스턴스로 사용을 제한할 수 있습니다. 자세한 내용은 [고급 KMS 키 정책 설명](advanced-kms-policy.md) 섹션을 참조하세요.
IAM Identity Center의 위임된 관리자에게 필요한 IAM 정책 설명
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToUseKMSkey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "IAMPolicyToAllowIAMIdentityCenterAdminToListKeyAliases",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
}
]
}
```
## AWS 관리형 애플리케이션 사용을 위한 기준 KMS 키 및 IAM 정책 설명
**참고**
일부 AWS 관리형 애플리케이션은 고객 관리형 KMS 키로 구성된 IAM Identity Center와 함께 사용할 수 없습니다. 자세한 내용은 [IAM Identity Center에서 작동하는AWS 관리형 애플리케이션](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html)을 참조하세요.
에서 다음 KMS 키 정책 설명 템플릿을 사용하여 AWS 관리형 애플리케이션과 관리자가 모두 KMS 키를 사용하도록 [2단계: KMS 키 정책 설명 준비](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) 허용합니다.
+ PrincipalOrgID 및 SourceOrgId 조건에 AWS Organizations ID를 삽입합니다. 참조된 식별자의 값을 찾는 데 도움이 필요하면 [필요한 식별자를 찾을 수 있는 위치](identity-center-customer-managed-keys.md#find-the-required-identifiers) 섹션을 참조하세요.
+ 이러한 정책 설명을 통해 AWS 조직의 모든 AWS 관리형 애플리케이션과 모든 IAM 보안 주체(애플리케이션 관리자)는 IAM Identity Center 및 Identity Store를 사용하여 kms:Decrypt를 사용할 수 있습니다. 이러한 정책 설명을 특정 AWS 관리형 애플리케이션, 계정 또는 IAM Identity Center 인스턴스로 제한하려면 [고급 KMS 키 정책 설명](advanced-kms-policy.md) 섹션을 참조하세요.
` *`를 특정 IAM 위탁자로 대체하여 특정 애플리케이션 관리자에 대한 액세스를 제한할 수 있습니다. 권한 세트를 다시 생성할 때 IAM 역할 이름 변경을 방지하려면 [사용자 지정 신뢰 정책 예](referencingpermissionsets.md#custom-trust-policy-example)의 접근 방식을 사용합니다. 자세한 내용은 [기준 및 고급 KMS 키 정책 설명 선택 시 고려 사항](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline) 단원을 참조하십시오.
KMS 키 정책 설명
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
[4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)에서 다음 IAM 정책 설명 템플릿을 사용하여 AWS 관리형 애플리케이션의 관리자가 멤버 계정의 KMS 키를 사용하도록 허용합니다.
+ 리소스 요소의 예제 ARN을 실제 KMS 키 ARN으로 바꿉니다. 참조된 식별자의 값을 찾는 데 도움이 필요하면 [필요한 식별자를 찾을 수 있는 위치](identity-center-customer-managed-keys.md#find-the-required-identifiers) 섹션을 참조하세요.
+ 일부 AWS 관리형 애플리케이션은 IAM Identity Center 서비스 APIs. IAM Identity Center에서 고객 관리형 키를 구성하기 전에 이러한 권한이 KMS 키 사용도 허용하는지 확인합니다. 특정 KMS 키 권한 요구 사항은 배포한 각 AWS 관리형 애플리케이션에 대한 설명서를 참조하세요.
AWS 관리형 애플리케이션의 관리자에게 필요한 IAM 정책 설명:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## 사용을 위한 기준 KMS 키 문 AWS Control Tower
에서 다음 KMS 키 문 템플릿을 사용하여 AWS Control Tower 관리자가 KMS 키를 사용하도록 [2단계: KMS 키 정책 설명 준비](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) 허용합니다.
+ 위탁자 요소에서 IAM Identity Center 서비스 API에 액세스하는 데 사용되는 IAM 위탁자를 지정합니다. IAM 위탁자에 대한 자세한 내용은 *IAM 사용 설명서*의 [위탁자 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)을 참조하세요.
+ 이러한 정책 설명을 통해 AWS Control Tower 관리자는 모든 IAM Identity Center 인스턴스를 통해 KMS 키를 사용할 수 있습니다. 그러나 AWS Control Tower는 동일한 조직에 있는 IAM Identity Center의 AWS 조직 인스턴스에 대한 액세스를 제한합니다. 이러한 제한으로 인해 [고급 KMS 키 정책 설명](advanced-kms-policy.md)에 설명된 대로 KMS 키를 특정 IAM Identity Center 인스턴스로 추가로 제한하면 실질적인 이점이 없습니다.
+ 권한 세트를 다시 생성할 때 IAM 역할 이름 변경을 방지하려면 [사용자 지정 신뢰 정책 예](referencingpermissionsets.md#custom-trust-policy-example)에 설명된 접근 방식을 사용합니다.
KMS 키 정책 문:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowControlTowerAdminRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/AWSControlTowerAdmin"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
AWS Control Tower 는 위임된 관리를 지원하지 않으므로 관리자를 위해 IAM 정책을 구성할 필요가 없습니다.
**중요**
앞의 정책 문은가 `AWSControlTowerAdmin` 역할을 AWS Control Tower 수임하는 계정의 자동 등록과 같은 AWS Control Tower 서비스 관리형 작업을 다룹니다. 그러나 Account Factory를 통한 계정 프로비저닝 또는 직접 AWS Control Tower APIs 호출과 같이 고객이 시작한 작업의 경우는 [전달 액세스 세션(FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 AWS Control Tower 사용하고 고객의 자체 IAM 역할로 작동합니다. 즉, 이러한 작업을 시작하는 데 사용하는 IAM 역할에는 고객 관리형 KMS 키에 대한 `kms:Decrypt` 권한도 필요합니다.
위의 문과 함께 다음 KMS 키 정책 `AWSControlTowerAdmin` 문을 추가합니다. *MyControlTowerRole*을 IAM Identity Center 권한 세트 역할(예: `AWSReservedSSO_PermissionSetName_*`), 자동화를 위한 사용자 지정 IAM 역할 또는 AWS Control Tower 또는 AWS Service Catalog API를 호출하는 데 사용되는 기타 역할과 AWS Control Tower같이 상호 작용하는 데 사용하는 IAM 역할의 ARN으로 바꿉니다. APIs
고객 시작 AWS Control Tower 작업에 대한 KMS 키 정책 설명:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityCenterForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomerRoleToUseTheKMSKeyViaIdentityStoreForControlTower",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyControlTowerRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
## IAM Identity Center를 Amazon EC2 인스턴스에 사용하기 위한 기준 KMS 키 및 IAM 정책 설명
에서 다음 KMS 키 정책 설명 템플릿을 사용하여 Amazon EC2 인스턴스에 대한 Single Sign-On(SSO) 사용자가 계정 간에 KMS 키를 사용할 수 [2단계: KMS 키 정책 설명 준비](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) 있도록 허용합니다.
+ 위탁자 필드에서 IAM Identity Center에 액세스하는 데 사용되는 IAM 위탁자를 지정합니다. IAM 위탁자에 대한 자세한 내용은 *IAM 사용 설명서*의 [위탁자 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)을 참조하세요.
+ 이 정책 문은 모든 IAM Identity Center 인스턴스가 KMS 키를 사용하도록 허용합니다. 특정 IAM Identity Center 인스턴스에 대한 액세스를 제한하려면 [고급 KMS 키 정책 설명](advanced-kms-policy.md) 섹션을 참조하세요.
+ 권한 세트를 다시 생성할 때 IAM 역할 이름 변경으로부터 보호하려면 사용자 지정 신뢰 정책 예제에 설명된 접근 방식을 사용합니다.
KMS 키 정책 설명
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterPermissionSetRoleToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_MyPermissionSet_1a2b3c4d5e6f7g8h"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
에서 다음 IAM 정책 설명 템플릿을 사용하여 EC2 인스턴스에 대한 SSO가 KMS 키를 사용하도록 [4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) 허용합니다.
Amazon EC2 인스턴스에 대한 SSO 액세스를 허용하는 데 사용하는 IAM Identity Center의 기존 권한 세트에 IAM 정책 설명을 연결합니다. IAM 정책 예제는 *AWS Systems Manager 사용 설명서*의 [원격 데스크톱 프로토콜 연결](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-iam-policy-examples)을 참조하세요.
+ 리소스 요소의 예제 ARN을 실제 KMS 키 ARN으로 바꿉니다. 참조된 식별자의 값을 찾는 데 도움이 필요하면 [필요한 식별자를 찾을 수 있는 위치](identity-center-customer-managed-keys.md#find-the-required-identifiers) 섹션을 참조하세요.
권한 세트 IAM 정책:
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "IAMPolicyToAllowKMSKeyUseViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## IAM Identity Center에서 사용자 지정 워크플로를 사용하기 위한 기준 KMS 키 및 IAM 정책 설명
에서 다음 KMS 키 정책 설명 템플릿을 사용하여 AWS Organizations 관리 계정 또는 위임된 관리 계정의 고객 관리형 애플리케이션과 같은 사용자 지정 워크플로가 KMS 키를 사용하도록 [2단계: KMS 키 정책 설명 준비](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) 허용합니다. 고객 관리형 애플리케이션에 대한 SAML 페더레이션에는 KMS 키 권한이 필요하지 않습니다.
+ 위탁자 요소에서 IAM Identity Center 서비스 API에 액세스하는 데 사용되는 IAM 위탁자를 지정합니다. IAM 위탁자에 대한 자세한 내용은 *IAM 사용 설명서*의 [위탁자 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)을 참조하세요.
+ 이러한 정책 설명을 사용하여 워크플로는 IAM Identity Center 인스턴스를 통해 KMS 키를 사용할 수 있습니다. 특정 IAM Identity Center 인스턴스에 대한 액세스를 제한하려면 [고급 KMS 키 정책 설명](advanced-kms-policy.md) 섹션을 참조하세요.
+ 권한 세트를 다시 생성할 때 IAM 역할 이름 변경으로부터 보호하려면 [사용자 지정 신뢰 정책 예](referencingpermissionsets.md#custom-trust-policy-example)에 설명된 접근 방식을 사용합니다.
KMS 키 정책 문:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyCustomWorkflowRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
}
]
}
```
[4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key)에서 다음 IAM 정책 설명 템플릿을 사용하여 사용자 지정 워크플로와 연관된 IAM 위탁자가 계정 간에 KMS 키를 사용하도록 허용합니다. IAM 위탁자에 IAM 정책 설명을 추가합니다.
+ 리소스 요소의 예제 ARN을 실제 KMS 키 ARN으로 바꿉니다. 참조된 식별자의 값을 찾는 데 도움이 필요하면 [필요한 식별자를 찾을 수 있는 위치](identity-center-customer-managed-keys.md#find-the-required-identifiers) 섹션을 참조하세요.
IAM 정책 설명(교차 계정 사용에만 필요):
```
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AllowCustomWorkflowToUseTheKMSKeyViaIdentityCenterAndIdentityStore",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": [
"sso.*.amazonaws.com",
"identitystore.*.amazonaws.com"
]
}
}
}]
}
```
## 일반적인 사용 사례에 대한 KMS 키 정책 설명의 예
### 위임된 관리자 및 AWS 관리형 애플리케이션이 있는 IAM Identity Center
이 섹션에는 위임된 관리자 및 AWS 관리형 애플리케이션이 있는 IAM Identity Center 인스턴스에 사용할 수 있는 예제 KMS 키 정책 설명이 포함되어 있습니다.
**중요**
KMS 키 정책 문은 IAM Identity Center 인스턴스가 KMS 키 권한이 필요한 다른 사용 사례에 사용되지 않는다고 가정합니다. 확인을 위해 모든 [사용 사례를](identity-center-customer-managed-keys.md#identify-use-cases) 검토할 수 있습니다. 또한 관리형 애플리케이션에 추가 구성이 필요한지 확인하려면 섹션을 참조하세요 AWS . [일부 AWS 관리형 애플리케이션의 추가 구성](identity-center-customer-managed-keys.md#additional-config-in-some-aws-apps)
테이블 아래에 KMS 키 정책 설명을 복사하여 KMS 키 정책에 추가합니다. 이 예제에서는 다음 예제 값을 사용합니다.
+ `111122223333` - IAM Identity Center 인스턴스의 계정 ID
+ `444455556666` - 위임된 관리 계정 ID
+ `o-a1b2c3d4e5` - AWS 조직 ID
+ ` arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*` - 권한 세트 *관리자*에서 프로비저닝된 IAM Identity Center 관리자의 IAM 역할의 와일드카드 패턴입니다. 이러한 역할에는 기본 리전(이 예제에서는 us-east-1)의 리전 코드가 포함됩니다.
+ ` arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*` - 권한 세트 *DelegatedAdmin*에서 프로비저닝된 IAM Identity Center 위임된 관리자의 IAM 역할의 와일드카드 패턴입니다. 이러한 역할에는 기본 리전(이 예제에서는 us-east-1)의 리전 코드가 포함됩니다.
권한 세트에서 IAM 역할이 생성되지 않은 경우 IAM 역할은와 같은 일반 역할처럼 보입니다`arn:aws:iam::111122223333:role/idcadmin`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAdminToDescribeTheKMSKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root"
]
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_Admin_*",
"arn:aws:iam::444455556666:role/aws-reserved/sso.amazonaws.com/us-east-1/AWSReservedSSO_DelegatedAdmin_*"
]
}
}
},
{
"Sid": "AllowIAMIdentityCenterToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "sso.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIdentityStoreToUseTheKMSKey",
"Effect": "Allow",
"Principal": {
"Service": "identitystore.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "AllowIAMIdentityCenterAndIdentityStoreToDescribeKMSKey",
"Effect": "Allow",
"Principal": {
"Service": [
"identitystore.amazonaws.com",
"sso.amazonaws.com"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
}
}
},
{
"Sid": "AllowAppAdminsInTheSameOrganizationToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4e5"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
},
{
"Sid": "AllowManagedAppsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": "*",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "*"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
},
"StringEquals": {
"aws:SourceOrgID": "o-a1b2c3d4e5"
}
}
}
]
}
```
# 고급 KMS 키 정책 설명
고급 KMS 키 정책 설명을 사용하여 고객 관리형 KMS 키에 대한 보다 세분화된 액세스 제어를 구현합니다. 이러한 정책은 암호화 컨텍스트 조건 및 서비스별 제한을 추가하여 [기준 KMS 키 및 IAM 정책 설명](baseline-KMS-key-policy.md) 섹션을 기반으로 합니다. 고급 KMS 키 정책 설명을 사용할지 여부를 결정하기 전에 관련 고려 사항을 검토해야 합니다.
## 암호화 컨텍스트를 사용하여 액세스 제한
키 정책 설명에 암호화 컨텍스트 조건을 지정하여 KMS 키 사용을 특정 IAM Identity Center 인스턴스로 제한할 수 있습니다. 기준 키 정책 설명에는 일반 값과 함께 이 컨텍스트가 이미 포함되어 있습니다. 키가 의도한 인스턴스에서만 작동하도록 “\$1” 와일드카드를 특정 Identity Center 인스턴스 ARN 및 Identity Store ARN으로 바꿉니다. KMS 키의 교차 계정 사용을 위해 구성된 IAM 정책에 동일한 암호화 컨텍스트 조건을 추가할 수도 있습니다.
자격 증명 센터
```
"StringEquals": {
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
```
아이덴티티 스토어
```
"StringEquals": {
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
```
이러한 식별자를 찾는 데 도움이 필요한 경우 [필요한 식별자를 찾을 수 있는 위치](identity-center-customer-managed-keys.md#find-the-required-identifiers) 섹션을 참조하세요.
**참고**
IAM Identity Center의 조직 인스턴스에서만 고객 관리형 KMS 키를 사용할 수 있습니다. 고객 관리형 키는 AWS 조직의 관리 계정에 있어야 합니다. 이렇게 하면 키를 단일 IAM Identity Center 인스턴스와 함께 사용할 수 있습니다. 그러나 암호화 컨텍스트 메커니즘은 단일 인스턴스 사용에 대한 독립적인 기술적 보호 기능을 제공합니다. Identity Center 및 Identity Store 서비스 위탁자를 위한 KMS 키 정책 설명에서 `aws:SourceArn` 조건 키를 사용할 수도 있습니다.
### 암호화 컨텍스트 조건 구현 시 고려 사항
암호화 컨텍스트 조건을 구현하기 전에 다음 요구 사항을 검토합니다.
+ **DescribeKey 작업.** 암호화 컨텍스트는 IAM Identity Center 관리자가 사용할 수 있는 ‘kms:DescribeKey’ 작업에 적용할 수 없습니다. KMS 키 정책을 구성할 때 IAM Identity Center 인스턴스의 적절한 작동을 보장하기 위해 이 특정 작업에 대한 암호화 컨텍스트를 제외합니다.
+ **새 인스턴스 설정.** 고객 관리형 KMS 키를 사용하여 새 IAM Identity Center 인스턴스를 활성화하는 경우 [고객 관리형 KMS 키 및 고급 KMS 키 정책에 대한 고려 사항](considerations-for-customer-managed-kms-keys-advanced.md) 섹션을 참조하세요.
+ **자격 증명 소스 변경.** 자격 증명 소스를 Active Directory로 변경하거나 Active Directory에서 변경할 때 암호화 컨텍스트에 특별한 주의가 필요합니다. [ID 소스 변경 시 고려 사항](manage-your-identity-source-considerations.md)을(를) 참조하세요.
## 정책 템플릿
보안 요구 사항에 따라 이러한 고급 정책 템플릿 중에서 선택합니다. 세분화된 액세스 제어와 해당 제어가 도입하는 관리 오버헤드의 균형을 맞춥니다.
여기에서 다루는 주제는 다음과 같습니다.
+ [특정 IAM Identity Center 인스턴스의 읽기 전용 사용에 대한 KMS 정책 설명](#kms-policy-statements-for-read-only-use-of-a-specific-iam-identity-center-instance). 이 섹션에서는 IAM Identity Center에 대한 읽기 전용 액세스에 암호화 컨텍스트를 사용하는 방법을 보여줍니다.
+ [AWS 관리형 애플리케이션 사용을 위한 KMS 키 정책 설명 개선](#refined-kms-key-policy-statements-for-use-of-aws-managed-applications). 이 섹션에서는 애플리케이션 서비스 보안 주체, 애플리케이션 ARN 및 AWS 계정 ID와 같은 암호화 컨텍스트 및 애플리케이션 정보를 사용하여 AWS 관리형 애플리케이션에 대한 KMS 키 정책을 구체화하는 방법을 보여줍니다.
## 특정 IAM Identity Center 인스턴스의 읽기 전용 사용에 대한 KMS 정책 설명
이 정책은 IAM Identity Center에 대한 읽기 액세스 권한만 필요한 [보안 감사자](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SecurityAudit.html) 및 기타 직원이 KMS 키를 사용하도록 허용합니다.
이 정책을 사용하려면 다음을 수행합니다.
1. 예제 읽기 전용 관리자 IAM 위탁자를 실제 관리자 IAM 위탁자로 바꾸기
1. 예제 IAM Identity Center 인스턴스 ARN을 실제 인스턴스 ARN으로 바꾸기
1. 예제 Identity Store ARN을 실제 Identity Store ARN으로 바꾸기
1. [위임된 관리를 사용하는 경우](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) [4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](identity-center-customer-managed-keys.md#configure-iam-policies-kms-key) 섹션을 참조하세요.
이러한 식별자의 값을 찾는 데 도움이 필요한 경우 [필요한 식별자를 찾을 수 있는 위치](identity-center-customer-managed-keys.md#find-the-required-identifiers) 섹션을 참조하세요.
템플릿을 값으로 업데이트한 후 [2단계: KMS 키 정책 설명 준비](identity-center-customer-managed-keys.md#choose-kms-key-policy-statements) 섹션으로 돌아가 필요에 따라 추가 KMS 키 정책 설명을 준비합니다.
kms:Decrypt 작업만으로는 읽기 전용 작업에 대한 액세스를 제한하지 않습니다. IAM 정책은 IAM Identity Center 서비스 API에 대한 읽기 전용 액세스를 적용해야 합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowReadOnlyAccessToIdentityCenterAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
}
}
},
{
"Sid": "AllowReadOnlyAccessToIdentityStoreAPI",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyAdminRole"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
}
}
}
]
}
```
## AWS 관리형 애플리케이션 사용을 위한 KMS 키 정책 설명 개선
이러한 정책 템플릿은 KMS 키를 사용할 수 있는 AWS 관리형 애플리케이션을 보다 세밀하게 제어할 수 있습니다.
**참고**
일부 AWS 관리형 애플리케이션은 고객 관리형 KMS 키로 구성된 IAM Identity Center와 함께 사용할 수 없습니다. [IAM Identity Center와 함께 사용할 수 있는AWS 관리형 애플리케이션](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html)을 참조하세요.
는 동일한 AWS 조직의 모든 계정에서 AWS 관리형 애플리케이션이 KMS 키를 사용하도록 [AWS 관리형 애플리케이션 사용을 위한 기준 KMS 키 및 IAM 정책 설명](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-aws-managed-applications) 허용합니다. 다음과 같이 세분화된 정책을 사용하여 액세스를 제한합니다.
+ 애플리케이션 서비스 위탁자
+ 애플리케이션 인스턴스 ARN
+ AWS 계정 IDs
+ 특정 IAM Identity Center 인스턴스의 암호화 컨텍스트
**참고**
서비스 보안 주체는 AWS 서비스의 고유 식별자로, 일반적으로 servicename.amazonaws.com 형식입니다(예: Amazon EMR의 경우 elasticmapreduce.amazonaws.com).
### 계정으로 제한
이 KMS 키 정책 설명 템플릿을 사용하면 특정 AWS 계정의 AWS 관리형 애플리케이션이 특정 IAM Identity Center 인스턴스를 사용하여 KMS 키를 사용할 수 있습니다.
이 정책을 사용하려면 다음을 수행합니다.
1. 예제 서비스 위탁자를 실제 애플리케이션 서비스 위탁자로 바꾸기
1. 예제 계정 ID를 AWS 관리형 애플리케이션이 배포된 실제 계정 ID로 바꾸기
1. 예제 Identity Store ARN을 실제 Identity Store ARN으로 바꾸기
1. 예제 IAM Identity Center 인스턴스 ARN을 실제 인스턴스 ARN으로 바꾸기
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowServiceInSpecificAccountsToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"111122223333",
"444455556666"
]
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
### 애플리케이션 인스턴스로 제한
이 KMS 키 정책 설명 템플릿을 사용하면 특정 AWS 관리형 애플리케이션 인스턴스가 특정 IAM Identity Center 인스턴스를 사용하여 KMS 키를 사용할 수 있습니다.
이 정책을 사용하려면 다음을 수행합니다.
1. 예제 서비스 위탁자를 실제 애플리케이션 서비스 위탁자로 바꾸기
1. 예제 애플리케이션 ARN을 실제 애플리케이션 인스턴스 ARN으로 바꾸기
1. 예제 Identity Store ARN을 실제 Identity Store ARN으로 바꾸기
1. 예제 IAM Identity Center 인스턴스 ARN을 실제 인스턴스 ARN으로 바꾸기
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityCenter",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "sso.*.amazonaws.com",
"kms:EncryptionContext:aws:sso:instance-arn": "arn:aws:sso:::instance/ssoins-1234567890abcdef"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
},
{
"Sid": "AllowSpecificAppInstanceToUseTheKMSKeyViaIdentityStore",
"Effect": "Allow",
"Principal": {
"Service": "myapp.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceARN": "arn:aws:myapp:us-east-1:111122223333:application/my-application"
},
"StringLike": {
"kms:ViaService": "identitystore.*.amazonaws.com",
"kms:EncryptionContext:aws:identitystore:identitystore-arn": "arn:aws:identitystore::111122223333:identitystore/d-1234567890"
},
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
# 고객 관리형 KMS 키 및 고급 KMS 키 정책에 대한 고려 사항
IAM Identity Center를 사용하여 고객 관리형 KMS 키를 구현할 때는 암호화 구성의 설정, 보안 및 지속적인 유지 관리에 영향을 미치는 해당 요소를 고려합니다.
## 기준 및 고급 KMS 키 정책 설명 선택 시 고려 사항
[고급 KMS 키 정책 설명](advanced-kms-policy.md) 섹션을 통해 KMS 키 권한을 보다 구체적으로 지정할지 여부를 결정할 때는 조직의 관리 오버헤드와 보안 요구 사항을 고려합니다. 보다 구체적인 정책 설명은 누가 어떤 목적으로 키를 사용할 수 있는지에 대한 보다 세분화된 제어를 제공합니다. 그러나 IAM Identity Center 구성이 발전함에 따라 지속적인 유지 관리가 필요합니다. 예를 들어 KMS 키 사용을 특정 AWS 관리형 애플리케이션 배포로 제한하는 경우 조직에서 애플리케이션을 배포하거나 배포 취소하려는 때마다 키 정책을 업데이트해야 합니다. 덜 제한적인 정책은 관리 부담을 줄이지만 보안 요구 사항에 필요한 권한보다 더 광범위한 권한을 부여할 수 있습니다.
## 고객 관리형 KMS 키를 사용하여 새 IAM Identity Center 인스턴스를 활성화하기 위한 고려 사항
여기에 있는 고려 사항은 [고급 KMS 키 정책 설명](advanced-kms-policy.md)에 설명된 암호화 컨텍스트를 통해 KMS 키 사용을 특정 IAM Identity Cnter 인스턴스로 제한하는 경우에 적용됩니다.
고객 관리형 KMS 키로 새 IAM Identity Center 인스턴스를 활성화하면 설정 후까지 IAM Identity Center 및 Identity Store ARN을 사용할 수 없습니다. 다음과 같은 옵션이 있습니다.
+ 일반 ARN 패턴을 일시적으로 사용한 다음 인스턴스가 활성화된 후 전체 ARN으로 바꿉니다. 필요에 따라 StringEquals 연산자와 StringLike 연산자 간에 전환해야 합니다.
+ IAM Identity Center SPN의 경우: ‘arn:\$1\$1Partition\$1:sso:::instance/\$1’.
+ Identity Store SPN의 경우: ‘arn:\$1\$1Partition\$1:identitystore::\$1\$1Account\$1:identitystore/\$1’.
+ ARN에서 ‘purpose:KEY\$1CONFIGURATION’을 일시적으로 사용합니다. 이는 인스턴스 활성화에만 적용되며 IAM Identity Center 인스턴스가 정상적으로 작동하려면 실제 ARN으로 교체해야 합니다. 이 접근 방식의 장점은 인스턴스가 활성화된 후 이를 대체하는 것을 잊지 않는다는 것입니다.
+ IAM Identity Center SPN의 경우 ‘arn:\$1\$1Partition\$1:sso::instance/purpose:KEY\$1CONFIGURATION’을 사용합니다.
+ Identity Store SPN의 경우 ‘arn:\$1\$1Partition\$1:identitystore::\$1\$1Account\$1:identitystore/purpose:KEY\$1CONFIGURATION’을 사용합니다.
**중요**
기존 IAM Identity Center 인스턴스에서 이미 사용 중인 KMS 키에는 이 구성을 적용하지 마세요. 정상적인 작업이 중단될 수 있습니다.
+ 인스턴스가 활성화된 후까지 KMS 키 정책에서 암호화 컨텍스트 조건을 생략합니다.