기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS 에 대한 관리형 정책 AWS Key Management Service
<a name="security-iam-awsmanpol"></a>

 AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

 AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.

 AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.

## AWS 관리형 정책: AWSKeyManagementServicePowerUser
<a name="security-iam-awsmanpol-AWSKeyManagementServicePowerUser"></a>

`AWSKeyManagementServicePowerUser` 정책을 IAM ID에 연결할 수 있습니다.

`AWSKeyManagementServicePowerUser` 관리형 정책을 사용하여 계정의 IAM 보안 주체에게 고급 사용자 권한을 부여할 수 있습니다. 고급 사용자는 KMS 키를 생성하고, 자신이 생성한 KMS 키를 사용 및 관리하고, 모든 KMS 키와 IAM 자격 증명을 볼 수 있습니다. `AWSKeyManagementServicePowerUser` 관리형 정책이 있는 보안 주체는 키 정책, 기타 IAM 정책 및 권한 부여를 비롯한 다른 소스에서 권한을 얻을 수도 있습니다.

`AWSKeyManagementServicePowerUser`는 AWS 관리형 IAM 정책입니다. AWS 관리형 정책에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 참조하세요.

**참고**  
이 정책의 KMS 키와 관련된 권한(예: `kms:TagResource` 및 `kms:GetKeyRotationStatus`)은 해당 KMS 키에 대한 키 정책에서, AWS 계정 이 IAM 정책을 사용하여 키에 대한 액세스를 제어하도록 [명시적으로 허용](key-policy-default.md#key-policy-default-allow-root-enable-iam)하는 경우에만 유효합니다. 권한이 KMS 키와 관련된 것인지 확인하려면 [AWS KMS 권한](kms-api-permissions-reference.md) 섹션의 **리소스(Resources)** 열에 **KMS 키(KMS key)**라는 값이 있는지 확인합니다.  
이 정책은 고급 사용자에게 작업을 허용하는 키 정책이 있는 모든 KMS 키에 대한 권한을 부여합니다. 계정 간 권한(예: `kms:DescribeKey` 및 `kms:ListGrants`)의 경우 여기에는 신뢰할 수 없는 AWS 계정의 KMS 키가 포함될 수 있습니다. 자세한 내용은 [IAM 정책 모범 사례](iam-policies-best-practices.md) 및 [다른 계정의 사용자가 KMS를 사용하도록 허용](key-policy-modifying-external-accounts.md) 섹션을 참조하세요. 다른 계정의 KMS 키에 대한 권한이 유효한지 확인하려면 [AWS KMS 권한](kms-api-permissions-reference.md) 섹션에서 **계정 간 사용(Cross-account use)** 열에 **예(Yes)**라는 값이 있는지 확인합니다.  
보안 주체가 오류 없이 AWS KMS 콘솔을 볼 수 있도록 하려면 보안 주체에 `AWSKeyManagementServicePowerUser` 정책에 포함되지 않은 [tag:GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) 권한이 필요합니다. 별도의 IAM 정책에서 이 권한을 허용할 수 있습니다.

[AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) 관리형 IAM 정책에는 다음 권한이 포함됩니다.
+ 보안 주체가 KMS 키를 생성하도록 허용합니다. 이 프로세스에는 키 정책 설정이 포함되므로 고급 사용자는 자신이 생성한 KMS 키를 사용하고 관리할 수 있는 권한을 자신과 다른 사용자에게 부여할 수 있습니다.
+ 보안 주체가 모든 KMS 키에서 [별칭](kms-alias.md)과 [태그](tagging-keys.md)를 만들고 삭제할 수 있습니다. 태그나 별칭을 변경하면 KMS 키를 사용하고 관리할 수 있는 권한을 허용하거나 거부할 수 있습니다. 자세한 내용은 [에 대한 ABAC AWS KMS](abac.md) 섹션을 참조하세요.
+ 보안 주체가 키 ARN, 암호화 구성, 키 정책, 별칭, 태그 및 [교체 상태](rotate-keys.md)를 포함하여 모든 KMS 키에 대한 자세한 정보를 얻을 수 있습니다.
+ 보안 주체가 IAM 사용자, 그룹 및 역할을 나열하도록 허용합니다.
+ 이 정책은 보안 주체가 자신이 생성하지 않은 KMS 키를 사용하거나 관리하도록 허용하지 않습니다. 하지만 모든 KMS 키의 별칭 및 태그를 변경할 수 있으므로, KMS 키를 사용하거나 관리할 권한이 허용 또는 거부될 수 있습니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)를 참조하세요.

## AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceCustomKeyStores
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceCustomKeyStores"></a>

`AWSServiceRoleForKeyManagementServiceCustomKeyStores`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 키 스토어와 연결된 AWS CloudHSM 클러스터를 보고 사용자 지정 AWS CloudHSM 키 스토어와 AWS CloudHSM 클러스터 간의 연결을 지원하는 네트워크를 생성할 수 있는 권한을 부여하는 AWS KMS 서비스 연결 역할에 연결됩니다. 자세한 내용은 [AWS CloudHSM 및 Amazon EC2 리소스를 관리할 수 AWS KMS 있는 권한 부여](authorize-kms.md) 단원을 참조하십시오.

## AWS 관리형 정책: AWSServiceRoleForKeyManagementServiceMultiRegionKeys
<a name="security-iam-awsmanpol-AWSServiceRoleForKeyManagementServiceMultiRegionKeys"></a>

`AWSServiceRoleForKeyManagementServiceMultiRegionKeys`를 IAM 엔티티에 연결할 수 없습니다. 이 정책은 서비스 연결 역할에 연결되며, 다중 리전 프라이머리 키의 키 구성 요소 변경 사항을 복제 키에 동기화할 수 있는 AWS KMS 권한을 부여합니다. 자세한 내용은 [다중 리전 키 AWS KMS 동기화 권한 부여](multi-region-auth-slr.md) 단원을 참조하십시오.

## AWS KMS AWS 관리형 정책에 대한 업데이트
<a name="security-iam-awsmanpol-updates"></a>

이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS KMS 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 AWS KMS [문서 기록](dochistory.md) 페이지에서 RSS 피드를 구독하세요.


| 변경 | 설명 | Date | 
| --- | --- | --- | 
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md) - 기존 정책 업데이트 | AWS KMS 는 정책 버전 v2의 관리형 정책에 문 ID(`Sid`) 필드를 추가했습니다. | 2024년 11월 21일 | 
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md) - 기존 정책 업데이트 | AWS KMS 는 실패 시가 명확한 오류 메시지를 제공할 AWS KMS 수 있도록 AWS CloudHSM 클러스터가 포함된 VPC의 변경 사항을 모니터링할 수 있는 `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, 및 `ec2:DescribeNetworkInterfaces` 권한을 추가했습니다. | 2023년 11월 10일 | 
| AWS KMS 에서 변경 내용 추적 시작 | AWS KMS 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2023년 11월 10일 |