AWS 조직의 모든 계정이 내 계정에서 AWS KMS 키를 사용하도록 허용하려면 어떻게 해야 하나요

2분 분량
0

AWS Key Management Service(AWS KMS)의 키 액세스를 AWS 조직에 속한 사용자로만 제한하고 싶습니다

간략한 설명

AWS KMS에서 리소스 기반 정책주요 요소와 함께 aws:PrincipalOrgID 전역 조건 키를 사용할 수 있습니다. 조직의 모든 AWS 계정 ID에 대한 목록 대신 조건 요소에 조직 ID를 지정할 수 있습니다.

해결 방법

AWS 글로벌 조건 컨텍스트 키 aws:PrincipalOrgID를 사용하여 AWS 조직의 모든 계정이 AWS KMS 작업을 수행할 수 있도록 허용하는 AWS KMS 키 정책을 만듭니다.

중요: AWS Identity and Access Management(IAM) 정책으로 최소 권한을 부여하는 것이 모범 사례입니다.

명령문 정책의 조건 요소에 AWS 조직 ID를 지정합니다. 이 정책은 조직에 있는 계정의 담당자만 AWS KMS 키에 액세스할 수 있도록 합니다.

조직 ID를 가져오려면 다음 단계를 따르세요.

  1. AWS Organizations 콘솔을 엽니다.
  2. 설정을 선택합니다.
  3. 조직 세부 정보에서 조직 ID를 복사합니다.
{  "Sid": "Allow use of the KMS key for organization",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:ReEncrypt*",
    "kms:GetKeyPolicy"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalOrgID": "o-xxxxxxxxxxx"
    }
  }
}

이 AWS KMS 키 정책 설명서에 따라 ID o-xxxxxxxxx를 가진 AWS 조직에 속한 AWS 계정의 ID가 KMS 키를 사용할 수 있습니다:

참고: aws:PrincipalOrgID 전역 조건 컨텍스트 키를 사용하여 AWS 서비스 주체에 대한 액세스를 제한할 수 없습니다. API 호출을 호출하는 AWS 서비스는 AWS Organization에 속하지 않은 내부 AWS 계정에서 만들어집니다.

관련 정보

AWS Organizations를 시작하려면 어떻게 해야 하나요?

조직에서 구성원 계정을 제거하려면 어떻게 하나요?

AWS 공식
AWS 공식업데이트됨 일 년 전