Amazon 별칭이 부여 된 키에만 액세스 권한을 부여하는 IAM 정책

Question

KMS에는 아마존 별칭이있는 키 (예 : /alias/aws/s3)와 Customer Master Keys (CMK)가 있습니다. 각 개발 팀

, 나는 모든 IAM 사용자/그룹/역할에 키의 별명 AWS에 액세스 할 수 있도록하고 싶습니다

별명을 가진 몇 CMKs (예 : /alias/team1/default, /alias/team1/confidential)을 가지고 있지만, 팀 제공 팀 수준의 키 수준의 액세스

AWS 액세스가 암시 iam:* 및 kms:*에 거부 제공하지만, 액세스 t을 허용하려면 키

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "NotAction": [ 
     "iam:*", 
     "kms:*" 
     ], 
     "Resource": "*", 
     "Condition": { 
     "Null": { 
      "aws:MultiFactorAuthAge": "false" 
     } 
     } 
    }, 
    { 
     "Effect": "Allow", 
     "Resource": "arn:aws:kms:us-east-1:111111111111:alias/aws/*", 
     "Action": [ 
     "kms:Encrypt", 
     "kms:Decrypt", 
     "kms:GenerateDataKey*", 
     "kms:DescribeKey" 
     ], 
     "Condition": { 
     "Null": { 
      "aws:MultiFactorAuthAge": "false" 
     } 
     } 
    } 
    ] 
} 

을 관리 할 수 ​​있도록하려고 할 때 내 문제가 온다

오 AWS 앨리어스 키 차라리 별명 (arn:aws:kms:us-east-1:111111111111:alias/aws/*)

보다 전체 키 ARN (arn:aws:kms:us-east-1:111111111111:key/abcd123-acbd-1234-abcd-acbcd1234abcd)에 대한 액세스 권한을 제공해야처럼

IAM 정책 시뮬레이터 작업, 그것을 관리하는 더 좋은 방법이 있나요 보인다 이?

Answer 1

당신을위한 자원으로 키 별칭을 사용할 수 있습니다

은 내가 IAM 액세스를 허용 키 정책을 사용 CMKs에 대한 액세스를 관리 할 수없고 알고 있지만, 당신은 KMS 주요 정책에 Principal로 그룹을 사용할 수 없습니다 Alias ​​자체에서 작동하는 API (예 : Create/Delete Alias) 및 별칭을 키 ID 대신 ARN으로 사용하여 기본 키에 대한 액세스를 제어하는 ​​API에 대한 액세스를 제어하는 ​​API는 사용할 수 없습니다. KMS API와 함께 사용할 리소스/ARN을 설명하는 다음 URL의 테이블을 참조 할 수 있습니다.

http://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html

당신은이 방법을 고려할 수 : IAM 역할을 담당하고 CMK의 주요 정책에 IAM 역할을 수 있도록 IAM 그룹을 허용합니다.

출처 : https://forums.aws.amazon.com/thread.jspa?threadID=173540