[AWS SCS] KMS 조건 키

KMS 조건 키: kms:ViaService와 kms:CallerAccount

AWS Key Management Service(KMS)를 사용하면서 활용할 수 있는 중요한 조건 키가 있습니다. 이 조건 키들은 KMS 키에 대한 액세스를 보다 세부적으로 제어하는 데 유용하며, AWS 리소스와의 연동을 세밀하게 관리할 수 있도록 도와줍니다. 이번 포스트에서는 두 가지 중요한 KMS 조건 키인 **kms:ViaService**와 **kms:CallerAccount**에 대해 설명하겠습니다.

---

1. kms:ViaService 조건 키

kms:ViaService 조건 키는 KMS 키가 특정 AWS 서비스에 의해서만 사용되도록 제한할 수 있습니다. 예를 들어, 사용자가 KMS 키를 생성하고 그랜트를 부여할 때, 이 조건 키를 통해 키가 Amazon EC2나 Amazon RDS와 같은 서비스에서만 사용되도록 설정할 수 있습니다. 이를 통해, 키가 다른 AWS 서비스나 계정에서 사용되지 않도록 보안성을 강화할 수 있습니다.

• 사용 예시
  예를 들어, KMS 키를 생성하고 그랜트를 부여한 후, kms:ViaService 조건을 EC2나 RDS 서비스로 설정하면, 이 키는 EC2의 EBS 볼륨 암호화나 RDS 데이터베이스 암호화 작업에만 사용될 수 있습니다.
• 주요 이점
  • 서비스 범위를 제한하여 키가 예상치 못한 곳에서 사용되는 것을 방지
  • 특정 AWS 서비스에 대한 제어 권한 부여

이 조건은 특히 AWS 관리형 키에서 자주 활용되며, 예를 들어 AWS/EBS와 같은 키 정책에서 kms:ViaService 조건을 볼 수 있습니다.

---

2. kms:CallerAccount 조건 키

kms:CallerAccount 조건 키는 특정 AWS 계정 내의 IAM 사용자 및 역할만 KMS 키를 사용할 수 있도록 제한합니다. 이를 통해 KMS 키에 대한 액세스를 특정 계정으로만 제한할 수 있습니다.

• 사용 예시
  예를 들어, KMS 키 정책에서 Principal: "*"을 사용하고, 조건으로 kms:CallerAccount를 설정하여 이 조건이 호출하는 계정 ID와 일치하도록 설정하면, 해당 계정 내의 리소스만 이 KMS 키를 사용할 수 있습니다.
• 주요 이점
  • 특정 계정 내에서만 키 사용을 허용하여 보안 관리
  • 여러 계정 간의 액세스를 세밀하게 제어

이 조건 키는 특히 멀티 계정 환경에서 유용하며, 여러 계정에서 키를 공유할 때 사용됩니다.

---

결론

kms:ViaService와 kms:CallerAccount 조건 키는 AWS KMS 키의 사용 범위를 세밀하게 제어할 수 있는 중요한 도구입니다. 이를 통해, 특정 서비스나 계정 내에서만 키가 사용되도록 제한함으로써 보안을 강화하고, 예상치 못한 키 사용을 방지할 수 있습니다. 이 두 조건 키는 AWS 보안 관리에서 매우 중요한 역할을 하며, KMS 키를 보다 안전하고 효율적으로 사용할 수 있게 도와줍니다.