AWS Key Management Service(AWS KMS)의 키 액세스를 AWS 조직에 속한 사용자로만 제한하고 싶습니다
간략한 설명
AWS KMS에서 리소스 기반 정책의 주요 요소와 함께 aws:PrincipalOrgID 전역 조건 키를 사용할 수 있습니다. 조직의 모든 AWS 계정 ID에 대한 목록 대신 조건 요소에 조직 ID를 지정할 수 있습니다.
해결 방법
AWS 글로벌 조건 컨텍스트 키 aws:PrincipalOrgID를 사용하여 AWS 조직의 모든 계정이 AWS KMS 작업을 수행할 수 있도록 허용하는 AWS KMS 키 정책을 만듭니다.
중요: AWS Identity and Access Management(IAM) 정책으로 최소 권한을 부여하는 것이 모범 사례입니다.
명령문 정책의 조건 요소에 AWS 조직 ID를 지정합니다. 이 정책은 조직에 있는 계정의 담당자만 AWS KMS 키에 액세스할 수 있도록 합니다.
조직 ID를 가져오려면 다음 단계를 따르세요.
- AWS Organizations 콘솔을 엽니다.
- 설정을 선택합니다.
- 조직 세부 정보에서 조직 ID를 복사합니다.
{ "Sid": "Allow use of the KMS key for organization",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:GetKeyPolicy"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-xxxxxxxxxxx"
}
}
}
이 AWS KMS 키 정책 설명서에 따라 ID o-xxxxxxxxx를 가진 AWS 조직에 속한 AWS 계정의 ID가 KMS 키를 사용할 수 있습니다:
참고: aws:PrincipalOrgID 전역 조건 컨텍스트 키를 사용하여 AWS 서비스 주체에 대한 액세스를 제한할 수 없습니다. API 호출을 호출하는 AWS 서비스는 AWS Organization에 속하지 않은 내부 AWS 계정에서 만들어집니다.
관련 정보
AWS Organizations를 시작하려면 어떻게 해야 하나요?
조직에서 구성원 계정을 제거하려면 어떻게 하나요?