1단계: 조직의 사용 사례 식별 2단계: KMS 키 정책 설명 준비 3단계: KMS 키 생성 4단계: IAM 정책 구성 5단계: IAM Identity Center에서 KMS 키 구성

에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center

참고

에 대한 고객 관리형 KMS 키 AWS IAM Identity Center 는 현재 일부 AWS 리전에서 사용할 수 있습니다.

고객 관리형 키는 사용자가 생성, 소유 및 관리하는 AWS Key Management Service 키입니다. AWS IAM Identity Center에서 저장 시 암호화를 위한 고객 관리형 KMS 키를 구현하려면 다음 단계를 따르세요.

중요

일부 AWS 관리형 애플리케이션은 고객 관리형 KMS 키로 구성된 AWS IAM Identity Center와 함께 사용할 수 없습니다. AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션을(를) 참조하세요.

1단계: 조직의 사용 사례 식별 - KMS 키 사용에 대한 올바른 권한을 정의하려면 조직 전체에서 관련 사용 사례를 식별해야 합니다. KMS 키 권한은 적절한 IAM 보안 주체가 특정 사용 사례에 KMS 키를 사용할 수 있도록 KMS 키 정책 설명과 자격 증명 기반 정책으로 구성됩니다.
2단계: KMS 키 정책 설명 준비 - 1단계에서 식별된 사용 사례를 기반으로 관련 KMS 키 정책 설명 템플릿을 선택하고 필수 식별자와 IAM 보안 주체 이름을 입력합니다. 기본 KMS 키 정책 설명으로 시작하고 보안 정책에 필요한 경우 고급 KMS 키 정책 설명에 설명된 대로 세분화합니다.
3단계: 고객 관리형 KMS 키 생성 - IAM Identity Center 요구 사항을 충족하는 KMS에서 AWS KMS 키를 생성하고 2단계에서 준비한 KMS 키 정책 설명을 KMS 키 정책에 추가합니다.
4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성 - 1단계에서 식별된 사용 사례를 기반으로 관련 IAM 정책 설명 템플릿을 선택하고 키 ARN을 입력하여 사용할 준비를 합니다. 그런 다음 준비된 IAM 정책 설명을 보안 주체의 IAM 정책에 추가하여 각 특정 사용 사례의 IAM 보안 주체가 계정 간에 KMS 키를 사용하도록 허용합니다.
5단계: IAM Identity Center에서 KMS 키 구성 - 중요:이 단계를 진행하기 전에 이전 단계에서 구성된 모든 KMS 키 권한을 철저히 검증합니다. 완료되면 IAM Identity Center는 저장 데이터 암호화에 KMS 키를 사용하기 시작합니다.

1단계: 조직의 사용 사례 식별

고객 관리형 KMS 키를 생성하고 구성하기 전에 사용 사례를 식별하고 필요한 KMS 키 권한을 준비합니다. AWS KMS 키 정책에 대한 자세한 내용은 KMS 개발자 안내서를 참조하세요.

IAM Identity Center 및 Identity Store APIs를 호출하는 IAM 보안 주체에는 권한이 필요합니다. 예를 들어 위임된 관리자는 권한 세트 정책을 통해 이러한 APIs를 사용할 수 있는 권한을 부여받을 수 있습니다. IAM Identity Center가 고객 관리형 키로 구성된 경우 IAM 보안 주체는 IAM Identity Center 및 Identity Store API를 통해 KMS APIs를 사용할 수 있는 권한도 있어야 합니다. 이러한 KMS API 권한은 KMS 키 정책과 IAM 보안 주체와 연결된 IAM 정책의 두 곳에서 정의합니다.

KMS 키 권한은 다음으로 구성됩니다.

에서 생성하는 동안 KMS 키에 지정하는 KMS 키 정책 설명입니다3단계: 고객 관리형 KMS 키 생성.
KMS 키를 생성한 4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성 후에서 지정하는 IAM 보안 주체에 대한 IAM 정책 설명입니다.

다음 표에서는 KMS 키를 사용할 권한이 필요한 관련 사용 사례 및 IAM 보안 주체를 지정합니다.

사용 사례	KMS 키를 사용할 권한이 필요한 IAM 보안 주체	필수/선택
AWS IAM Identity Center 사용	AWS IAM Identity Center 관리자 IAM Identity Center 서비스 및 관련 Identity Store 서비스	필수
IAM Identity Center에서 AWS 관리형 애플리케이션 사용	AWS 관리형 애플리케이션 관리자 AWS 관리형 애플리케이션 AWS 관리형 애플리케이션이 IAM Identity Center 및 Identity Store APIs 호출하기 위해 수임하는 서비스 역할	선택 사항
활성화된 AWS IAM Identity Center 인스턴스 AWS Control Tower 에서 사용	AWS Control Tower 관리자	선택 사항
AWS IAM Identity Center를 사용하여 Amazon EC2 Windows 인스턴스로 SSO	Amazon EC2 Windows 인스턴스에 대한 SSO를 수행할 권한이 있는 IAM 보안 주체	선택 사항
권한 세트 프로비저닝 워크플로 또는 AWS Lambda 함수와 같이 IAM Identity Center API 또는 Identity Store API를 호출하는 기타 사용 사례	이러한 워크플로에서 IAM Identity Center API 및 Identity Store API를 호출하는 데 사용되는 IAM 보안 주체	선택 사항

참고

테이블에 나열된 여러 IAM 보안 주체에는 AWS KMS API 권한이 필요합니다. 그러나 IAM Identity Center에서 사용자 및 그룹 데이터를 보호하기 위해 IAM Identity Center 및 Identity Store 서비스만 AWS KMS API를 직접 호출합니다.

2단계: KMS 키 정책 설명 준비

조직과 관련된 사용 사례를 식별한 후 해당 KMS 키 정책 설명을 준비할 수 있습니다.

조직의 사용 사례와 일치하는 KMS 키 정책 설명을 선택합니다. 기준 정책 템플릿으로 시작합니다. 보안 요구 사항에 따라 더 구체적인 정책이 필요한 경우의 예제를 사용하여 정책 설명을 수정할 수 있습니다고급 KMS 키 정책 설명. 이 결정에 대한 지침은 섹션을 참조하세요기준 및 고급 KMS 키 정책 설명 선택 시 고려 사항. 또한의 각 기준 섹션에는 관련 고려 사항이 기준 KMS 키 및 IAM 정책 설명 포함되어 있습니다.
관련 정책을 편집기에 복사하고 KMS 키 정책 설명에 필요한 식별자와 IAM 보안 주체 이름을 삽입합니다. 참조된 식별자의 값을 찾는 데 도움이 필요하면 섹션을 참조하세요필요한 식별자 찾기.

다음은 각 사용 사례에 대한 기준 정책 템플릿입니다. KMS 키를 사용하려면 AWS IAM Identity Center에 대한 첫 번째 권한 세트만 필요합니다. 추가 사용 사례별 정보는 해당 하위 섹션을 검토하는 것이 좋습니다.

중요

IAM Identity Center에서 이미 사용 중인 키에 대한 KMS 키 정책을 수정할 때는 주의해야 합니다. IAM Identity Center는 KMS 키를 처음 구성할 때 암호화 및 복호화 권한을 검증하지만 후속 정책 변경을 확인할 수는 없습니다. 필요한 권한을 실수로 제거하면 IAM Identity Center의 정상 작동이 중단될 수 있습니다. IAM Identity Center의 고객 관리형 키와 관련된 일반적인 오류를 해결하는 지침은 섹션을 참조하세요에서 고객 관리형 키 문제 해결 AWS IAM Identity Center.

참고

IAM Identity Center 및 연결된 Identity Store에서 고객 관리형 KMS 키를 사용하려면 서비스 수준 권한이 필요합니다. 이 요구 사항은 서비스 자격 증명을 사용하여 IAM Identity Center의 APIs를 호출하는 AWS 관리형 애플리케이션으로 확장됩니다. 전달 액세스 세션과 함께 IAM Identity Center의 APIs 호출되는 다른 사용 사례의 경우, 시작 IAM 보안 주체(예: 관리자)만 KMS 키 권한이 필요합니다. 특히 AWS 액세스 포털 및 AWS 관리형 애플리케이션을 사용하는 최종 사용자는 각 서비스를 통해 부여되므로 직접 KMS 키 권한이 필요하지 않습니다.

3단계: 고객 관리형 KMS 키 생성

AWS Management Console 또는 AWS KMS APIs. 키를 생성하는 동안 2단계에서 준비한 KMS 키 정책 설명을 KMS 키 정책에 추가합니다. 기본 KMS 키 정책에 대한 지침을 포함한 자세한 지침은 AWS Key Management Service 개발자 안내서를 참조하세요.

키는 다음 요구 사항을 충족해야 합니다.

KMS 키는 IAM Identity Center 인스턴스와 동일한 AWS 리전에 있어야 합니다.
다중 리전 또는 단일 리전 키를 선택할 수 있습니다. 여러 AWS 리전에서 향후 사용 사례와 향후 호환성을 유지하려면 다중 리전 키를 선택하는 것이 좋습니다.
KMS 키는 "암호화 및 복호화" 사용을 위해 구성된 대칭 키여야 합니다.
KMS 키는 IAM Identity Center의 조직 인스턴스와 동일한 AWS Organizations 관리 계정에 있어야 합니다.

4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성

IAM Identity Center 위임된 관리자와 같이 다른 AWS 계정의 IAM Identity Center 및 Identity Store APIs를 사용하는 모든 IAM 보안 주체에는 이러한 APIs를 통해 KMS 키를 사용할 수 있도록 허용하는 IAM 정책 설명도 필요합니다.

1단계에서 식별된 각 사용 사례에 대해:

기준 KMS 키 및 IAM 정책 설명에서 관련 IAM 정책 설명 템플릿을 찾습니다.
템플릿을 편집기에 복사하고 3단계에서 KMS 키를 생성한 후 사용할 수 있는 키 ARN을 입력합니다. 키 ARN 값을 찾는 데 도움이 필요하면 섹션을 참조하세요필요한 식별자 찾기.
에서 사용 사례와 연결된 IAM 보안 주체의 IAM 정책을 AWS Management Console찾습니다. 이 정책의 위치는 사용 사례와 액세스 권한 부여 방법에 따라 달라집니다.
- IAM에서 직접 부여된 액세스의 경우 IAM 콘솔에서 IAM 역할과 같은 IAM 보안 주체를 찾을 수 있습니다.
- IAM Identity Center를 통해 부여된 액세스의 경우 IAM Identity Center 콘솔에서 관련 권한 세트를 찾을 수 있습니다.
사용 사례별 IAM 정책 설명을 IAM 역할에 추가하고 변경 사항을 저장합니다.

참고

여기에 설명된 IAM 정책은 자격 증명 기반 정책입니다. 이러한 정책은 IAM 사용자, 그룹 및 역할에 연결할 수 있지만 가능하면 IAM 역할을 사용하는 것이 좋습니다. IAM 사용자와 IAM 역할에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요.

일부 AWS 관리형 애플리케이션의 추가 구성

일부 AWS 관리형 애플리케이션은 애플리케이션이 IAM Identity Center 및 Identity Store APIs. 조직에서 IAM Identity Center와 함께 AWS 관리형 애플리케이션을 사용하는 경우 배포된 각 애플리케이션에 대해 다음 단계를 완료합니다.

IAM Identity Center에서 애플리케이션을 사용하기 위한 KMS 키 관련 권한을 포함하도록 권한이 업데이트되었는지 확인하려면 애플리케이션의 사용 설명서를 참조하세요.
이 경우 애플리케이션 운영이 중단되지 않도록 애플리케이션 사용 설명서의 지침에 따라 권한을 업데이트합니다.

참고

AWS 관리형 애플리케이션이 이러한 권한을 사용하는지 확실하지 않은 경우 배포된 모든 AWS 관리형 애플리케이션의 사용 설명서를 확인하는 것이 좋습니다. 구성이 필요한 각 애플리케이션에 대해이 구성을 한 번만 수행하면 됩니다.

5단계: IAM Identity Center에서 KMS 키 구성

중요

이 단계를 진행하기 전에:

AWS 관리형 애플리케이션이 고객 관리형 KMS 키와 호환되는지 확인합니다. 호환되는 애플리케이션 목록은 AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션을 참조하세요. 호환되지 않는 애플리케이션이 있는 경우 진행하지 마십시오.
KMS 키 사용에 필요한 권한을 구성합니다. 적절한 권한이 없으면이 단계가 실패하거나 IAM Identity Center 관리 및 AWS 관리형 애플리케이션을 중단시킬 수 있습니다. 자세한 내용은 1단계: 조직의 사용 사례 식별 단원을 참조하십시오.
AWS 관리형 애플리케이션에 대한 권한도 IAM Identity Center 및 Identity Store APIs를 통해 KMS 키 사용을 허용하는지 확인합니다. 일부 AWS 관리형 애플리케이션은 이러한 APIs. 배포된 각 AWS 관리형 애플리케이션의 사용 설명서를 참조하여 특정 KMS 키 권한을 추가해야 하는지 확인합니다.

Console

IAM Identity Center의 새 조직 인스턴스를 활성화할 때 KMS 키를 지정하려면

IAM Identity Center의 새 조직 인스턴스를 활성화할 때 설정 중에 고객 관리형 KMS 키를 지정할 수 있습니다. 이렇게 하면 인스턴스가 처음부터 저장 시 암호화에 키를 사용할 수 있습니다. 시작하기 전에 단원을 참조하십시오고객 관리형 KMS 키 및 고급 KMS 키 정책에 대한 고려 사항.

IAM Identity Center 활성화 페이지에서 저장 시 암호화 섹션을 확장합니다.
Manage Encryption(암호화 관리)을 선택합니다.
고객 관리형 키를 선택합니다.
KMS 키의 경우 다음 중 하나를 수행합니다.
1. KMS 키에서 선택을 선택하고 드롭다운 목록에서 생성한 키를 선택합니다.
2. KMS 키 ARN 입력을 선택하고 키의 전체 ARN을 입력합니다.
저장을 선택합니다.
활성화를 선택하여 설정을 완료합니다.

자세한 내용은 IAM Identity Center 활성화를 참조하세요.

IAM Identity Center의 기존 조직 인스턴스에 대한 KMS 키를 지정하려면

https://console.aws.amazon.com/singlesignon/에서 IAM Identity Center 콘솔을 엽니다.
탐색 창에서 설정을 선택합니다.
암호화 섹션의 설정 페이지에서 편집을 선택합니다.
암호화 유형에서 고객 관리형 키를 선택합니다.
KMS 키의 경우 다음 중 하나를 수행합니다.
1. KMS 키에서 선택을 선택하고 드롭다운 목록에서 생성한 키를 선택합니다.
  
  참고
  풀다운 목록에는 동일한 AWS 계정에서 액세스할 수 있는 KMS 키만 표시됩니다. 따라서 위임된 관리 계정에서이 작업을 수행하는 경우 AWS Organizations 관리 계정에서 키의 ARN을 지정해야 합니다.
2. KMS 키 ARN 입력을 선택하고 키의 전체 ARN을 입력합니다.
변경 사항 저장을 선택합니다.

AWS CLI


aws ssoadmin update-instance \
  --configuration KeyType=string,KmsKeyArn=string \
  --instance-arn string \
  --name string

KMS 키 구성 변경

언제든지 고객 관리형 KMS 키를 다른 키로 변경하거나 AWS 소유 키로 전환할 수 있습니다.

KMS 키 구성을 변경하려면

IAM Identity Center 콘솔을 엽니다.
탐색 창에서 설정을 선택합니다.
추가 설정 탭으로 이동합니다.
암호화 관리를 선택합니다.
다음 중 하나를 선택합니다.
1. 고객 관리형 키 - 드롭다운에서 다른 고객 관리형 키를 선택하거나 새 키 ARN을 입력합니다.
2. AWS 소유 키 - 기본 암호화 옵션으로 전환합니다.
저장을 선택합니다.

고객 관리형 키 고려 사항

IAM Identity Center 작업에 대한 KMS 키 구성을 업데이트해도 IAM Identity Center의 활성 사용자 세션에는 영향을 미치지 않습니다. 이 프로세스 중에 AWS 액세스 포털, IAM Identity Center 콘솔 및 IAM Identity Center APIs를 계속 사용할 수 있습니다.
새 KMS 키로 전환할 때 IAM Identity Center는 암호화 및 복호화에 키를 성공적으로 사용할 수 있는지 확인합니다. 키 정책 또는 IAM 정책을 설정하는 동안 실수를 한 경우 콘솔에 설명 오류 메시지가 표시되고 이전 KMS 키는 계속 사용됩니다.
기본 연간 KMS 키 교체는 자동으로 수행됩니다. 키 교체, 키 모니터링, AWS KMS 키 삭제에 대한 액세스 제어와 같은 주제에 대한 자세한 내용은 AWS KMS 개발자 안내서를 참조하세요. https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html

중요

잘못된 KMS 키 정책으로 인해 IAM Identity Center 인스턴스에서 사용 중인 고객 관리형 KMS 키가 삭제, 비활성화 또는 액세스할 수 없는 경우 인력 사용자와 IAM Identity Center 관리자는 IAM Identity Center를 사용할 수 없습니다. 액세스 손실은 상황에 따라 일시적(키 정책을 수정할 수 있음)이거나 영구적(삭제된 키를 복원할 수 없음)일 수 있습니다. KMS 키 삭제 또는 비활성화와 같은 중요한 작업에 대한 액세스를 제한하는 것이 좋습니다. 또한 IAM Identity Center에 액세스할 수 없는 AWS 경우 권한이 있는 사용자가에 액세스할 수 있도록 조직에서 AWS 휴지통 액세스 절차를 설정하는 것이 좋습니다.

필요한 식별자 찾기

고객 관리형 KMS 키에 대한 권한을 구성할 때 키 정책 및 IAM 정책 설명 템플릿을 완료하려면 특정 AWS 리소스 식별자가 필요합니다. KMS 키 정책 설명에 필수 식별자(예: 조직 ID) 및 IAM 보안 주체 이름을 삽입합니다.

다음은 AWS 관리 콘솔에서 이러한 식별자를 찾기 위한 가이드입니다.

IAM Identity Center Amazon 리소스 이름(ARN) 및 Identity Store ARN

IAM Identity Center 인스턴스는 arn:aws:sso:::instance/ssoins-1234567890abcdef와 같은 고유한 ARN이 있는 AWS 리소스입니다. ARN은 서비스 승인 참조의 IAM Identity Center 리소스 유형 섹션에 설명된 패턴을 따릅니다.

모든 IAM Identity Center 인스턴스에는 사용자 및 그룹 ID를 저장하는 연결된 Identity Store가 있습니다. Identity Store에는 Identity Store ID(예: d-123456789a)라는 고유 식별자가 있습니다. ARN은 서비스 승인 참조의 Identity Store 리소스 유형 섹션에 설명된 패턴을 따릅니다.

IAM Identity Center의 설정 페이지에서 ARN과 Identity Store ID 값을 모두 찾을 수 있습니다. Identity 스토어 ID는 Identity 소스 탭에 있습니다.

AWS Organizations ID

키 정책에서 조직 ID(예: o-exampleorg1)를 지정하려면 IAM Identity Center 및 Organizations 콘솔의 설정 페이지에서 해당 값을 찾을 수 있습니다. ARN은 서비스 승인 참조의 Organizations 리소스 유형 섹션에 설명된 패턴을 따릅니다.

KMS 키 ARN

AWS KMS 콘솔에서 KMS 키의 ARN을 찾을 수 있습니다. 왼쪽에서 고객 관리형 키를 선택하고 ARN을 조회하려는 키를 클릭하면 일반 구성 섹션에 표시됩니다. ARN은 서비스 승인 참조의 AWS KMS 리소스 유형 섹션에 설명된 패턴을 따릅니다.

의 키 정책 AWS KMS 및 문제 해결 AWS KMS 권한에 대한 자세한 내용은 AWS Key Management Service 서비스 개발자 안내서를 참조하세요. IAM 정책 및 해당 JSON 표현에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

저장 시 암호화

기준 KMS 키 및 IAM 정책 설명