# AWS KMS key를 사용하여 지표 내보내기 암호화
고객 관리형 키를 사용하여 지표 내보내기를 암호화할 수 있는 권한을 Amazon S3 스토리지 렌즈에 부여하려면 키 정책을 사용해야 합니다. KMS 키를 사용하여 S3 스토리지 렌즈 지표 내보내기를 암호화할 수 있도록 키 정책을 업데이트하려면 다음 단계를 따릅니다.
**KMS 키를 사용한 데이터 암호화 권한을 S3 스토리지 렌즈에 부여**
1. 고객 관리형 키를 소유한 AWS 계정을 사용하여 AWS Management Console에 로그인합니다.
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)에서 AWS KMS 콘솔을 엽니다.
1. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 **리전 선택기**를 사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. **고객 관리형 키(Customer managed keys)**에서 지표 내보내기를 암호화하는 데 사용할 키를 선택합니다. AWS KMS keys는 리전별로 다르며 지표 내보내기 대상 S3 버킷과 동일한 리전에 있어야 합니다.
1. **키 정책(Key policy)**에서 **정책 보기로 전환(Switch to policy view)**을 선택합니다.
1. 키 정책을 업데이트하려면 **편집(Edit)**을 선택합니다.
1. **키 정책 편집**에서 기존 키 정책에 다음 키 정책을 추가합니다. 이 정책을 사용하려면 `user input placeholders`를 사용자의 정보로 대체합니다.
```
{
"Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
"Effect": "Allow",
"Principal": {
"Service": "storage-lens.s3.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
"aws:SourceAccount": "source-account-id"
}
}
}
```
1. **변경 사항 저장**을 선택합니다.
고객 관리형 키 생성 및 키 정책 사용에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 다음 주제를 참조하십시오.
+ [KMS 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)
+ [의 키 정책AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)
AWS KMS `PUT` 키 정책 API 작업([https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html))을 사용하면 REST API, AWS CLI 및 SDK를 사용하여 지표 내보내기를 암호화하는 데 사용할 키 정책을 고객 관리형 키에 복사할 수 있습니다.
## S3 테이블 버킷 내보내기에 대한 추가 권한
S3 Storage Lens 지표를 포함한 S3 테이블의 모든 데이터는 기본적으로 SSE-S3 암호화로 암호화됩니다. AWS KMS 키(SSE-KMS)를 사용하여 Storage Lens 지표 보고서를 암호화하도록 선택할 수 있습니다. KMS 키로 S3 Storage Lens 지표 보고서를 암호화하도록 선택한 경우 추가 권한이 있어야 합니다.
1. 사용자 또는 IAM 역할에 다음 권한이 필요합니다. IAM 콘솔 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 이러한 권한을 부여할 수 있습니다.
+ 사용된 AWS KMS 키의 `kms:DescribeKey`
1. AWS KMS 키에 대한 키 정책에는 다음 권한이 필요합니다. AWS KMS 콘솔([https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms))에서 이러한 권한을 부여할 수 있습니다. 이 정책을 사용하려면 `user input placeholders`를 사용자의 정보로 대체합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnableSystemTablesKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "systemtables.s3.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "EnableKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "maintenance.s3tables.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "/*"
}
}
}
]
}
```