기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 키 삭제에 대한 액세스 제어
IAM 정책을 사용하여 AWS KMS 권한을 허용하는 경우 관리자 액세스 권한(`"Action": "*"`) 또는 AWS KMS 전체 액세스 권한(`"Action": "kms:*"`)이 AWS 있는 IAM 자격 증명은 이미 KMS 키 삭제를 예약하고 키를 취소할 수 있습니다. 키 관리자가 키 정책에서 키 삭제를 예약하고 취소할 수 있도록 하려면 AWS KMS 콘솔 또는 AWS KMS API를 사용합니다.
일반적으로 키 관리자만 키 삭제를 예약하거나 취소할 수 있는 권한이 있습니다. 그러나 키 정책 또는 IAM 정책에 `kms:ScheduleKeyDeletion` 및 `kms:CancelKeyDeletion` 권한을 추가하여 다른 IAM ID에 이러한 권한을 부여할 수 있습니다. [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days) 조건 키를 사용하여 보안 주체가 [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html) 요청의 `PendingWindowInDays` 파라미터에 지정할 수 있는 값을 추가로 제한할 수도 있습니다.
## 키 관리자의 키 삭제 예약 및 취소 허용
### AWS KMS 콘솔 사용
키 관리자에게 키 삭제를 예약하고 취소할 수 있는 권한을 부여하려면 다음을 수행하세요.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. 권한을 변경하고 싶은 KMS 키의 별칭 또는 키 ID를 선택합니다.
1. **key policy**(키 정책) 탭을 선택합니다.
1. 다음 단계는 키 정책의 **기본 보기와 **정책 보기에 따라 다릅니다. 기본 콘솔 키 정책을 사용하는 경우에만 기본 보기를 사용할 수 있습니다. 이외의 경우에는 정책 보기만 사용할 수 있습니다.
기본 보기를 사용할 수 있는 경우 **Switch to policy view**(정책 보기로 전환) 또는 **Switch to default view**(기본 보기로 전환) 버튼이 **Key policy**(키 정책) 탭에 나타납니다.
+ 기본 보기에서
1. **Key deletion**(키 삭제) 아래에서 **Allow key administrators to delete this key**(키 관리자가 이 키를 삭제하도록 허용합니다.)를 선택합니다.
+ 정책 보기에서
1. **편집**을 선택합니다.
1. 키 관리자에 대한 정책 설명에서 `kms:ScheduleKeyDeletion` 및 `kms:CancelKeyDeletion` 권한을 `Action` 요소에 추가합니다.
```
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
}
```
1. **변경 사항 저장**을 선택합니다.
### AWS KMS API 사용
를 사용하여 키 삭제 AWS Command Line Interface 를 예약하고 취소할 수 있는 권한을 추가할 수 있습니다.
**키 삭제를 예약하고 취소할 권한을 추가하려면**
1. [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) 명령을 이용해 기존 키 정책을 검색한 후 정책 문서를 파일에 저장합니다.
1. 원하는 텍스트 편집기에서 정책 문서를 엽니다. 키 관리자에 대한 정책 설명에서 `kms:ScheduleKeyDeletion` 및 `kms:CancelKeyDeletion` 권한을 추가합니다. 다음 예는 이 두 권한이 포함된 정책 설명을 보여줍니다.
```
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
}
```
1. [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) 명령을 사용하여 KMS 키에 키 정책을 적용합니다.