Amazon Simple Storage Service(Amazon S3) 버킷이 AWS Key Management Service(AWS KMS) 고객 관리형 키로 암호화되어 있습니다. 다른 AWS 계정의 사용자가 내 버킷의 객체에 액세스하려고 하면 액세스 거부 오류가 발생합니다.
간략한 설명
계정 A의 AWS KMS 암호화 버킷에 대한 액세스 권한을 계정 B의 사용자에게 부여하려면 다음 권한을 적용하세요.
- 계정 A의 Amazon S3 버킷 정책은 계정 B에 대한 액세스 권한을 부여해야 합니다.
- 계정 A의 AWS 관리 키는 계정 A의 S3 버킷과 동일한 AWS 리전에 있어야 합니다.
- 계정 A의 AWS KMS 키 정책은 계정 B의 사용자에게 액세스 권한을 부여해야 합니다.
- 계정 B의 AWS Identity and Access Management(IAM) 정책은 사용자에게 계정 A의 버킷과 키 모두에 대한 액세스 권한을 부여해야 합니다.
액세스 거부 오류를 해결하려면 이러한 권한이 올바르게 설정되었는지 확인하세요.
중요: 고객 관리형 키 정책의 경우 정책을 생성한 계정에서만 키 정책을 변경할 수 있습니다.
버킷 암호화 설정에는 정규화된 KMS 키 ARN을 사용해야 합니다. KMS 키 별칭을 사용하는 경우 AWS KMS는 버킷을 소유한 계정(계정 A) 내에서만 키를 확인합니다.
다음은 버킷 암호화에 사용하는 정규화된 AWS KMS 키 ARN의 예입니다.
"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
다음은 버킷 암호화에 사용하지 않는 AWS KMS 키 별칭의 예입니다.
arn:aws:kms:us-west-2:111122223333:alias/alias-name
해결 방법
계정 A의 버킷 정책은 계정 B의 사용자에게 액세스 권한을 부여해야 합니다.
계정 A에서 버킷 정책을 검토하여 계정 B의 계정 ID에서 액세스를 허용하는 정책이 있는지 확인합니다.
예를 들어, 다음 버킷 정책은 계정 ID 111122223333 에 대한 s3:GetObject 액세스를 허용합니다:
{
"Id": "ExamplePolicy1",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ExampleStmt1",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
"Principal": {
"AWS": [
"111122223333"
]
}
}
]
}
계정 A의 AWS KMS 키 정책은 계정 B의 사용자에게 액세스 권한을 부여해야 합니다.
AWS KMS 키 정책은 계정 B의 사용자에게 kms:Decrypt 작업에 대한 권한을 부여해야 합니다. 예를 들어 한 IAM 사용자 또는 역할에만 키 액세스 권한을 부여하려면 다음과 비슷한 키 정책을 사용하세요.
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/role_name"
]
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
계정 A에서 AWS Management Console 정책 보기를 사용하여 키 정책을 검토하세요. 키 정책에서 **“Sid” “Allow use of the key”**를 검색하세요. 그런 다음 계정 B의 사용자가 해당 명세서에 보안 주체로 나열되어 있는지 확인합니다.
“Sid”: “Allow use of the key” 문구가 보이지 않으면, AWS Management Console 기본 보기를 사용하여 키 정책을 검토하세요. 그런 다음 계정 B의 계정 ID를 키에 액세스할 수 있는 외부 계정으로 추가합니다.
계정 B의 IAM 사용자 정책은 사용자에게 계정 A의 버킷과 키 모두에 대한 액세스 권한을 부여해야 합니다.
계정 B에서 다음 단계를 완료하세요.
- IAM 콘솔을 엽니다.
- 계정 B의 사용자와 연결된 IAM 사용자 또는 역할을 엽니다.
- IAM 사용자 또는 역할에 적용되는 권한 정책 목록을 검토하세요.
- 버킷과 키 모두에 대한 액세스 권한을 부여하는 적용된 정책이 있는지 확인합니다.
참고: 계정 B의 IAM 사용자 또는 역할에 이미 관리자 액세스 권한이 있는 경우 키에 대한 액세스 권한을 부여할 필요가 없습니다. 다음 예제 정책은 계정 B의 IAM 사용자에게 객체에 대한 액세스 권한과 버킷의 객체를 해독할 수 있는 KMS 키를 부여합니다.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "ExampleStmt1",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
},
{
"Sid": "ExampleStmt2",
"Action": [
"kms:Decrypt"
],
"Effect": "Allow",
"Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
IAM 사용자의 권한을 추가하거나 수정하는 방법에 대한 자세한 내용을 보려면 IAM 사용자의 권한 변경을 참조하세요.
관련 정보
AWS 정책 생성기