기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center
<a name="identity-center-customer-managed-keys"></a>

고객 관리형 키는 사용자가 생성, 소유 및 관리하는 AWS Key Management Service 키입니다. AWS IAM Identity Center에서 저장 시 암호화를 위한 고객 관리형 KMS 키를 구현하려면 다음 단계를 따르세요.

**중요**  
 일부 AWS 관리형 애플리케이션은 고객 관리형 KMS 키로 구성된 AWS IAM Identity Center와 함께 사용할 수 없습니다. [AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션](awsapps-that-work-with-identity-center.md)을(를) 참조하세요.

1.  [1단계: 조직의 사용 사례 식별](#identify-use-cases) - KMS 키 사용에 대한 올바른 권한을 정의하려면 조직 전체에서 관련 사용 사례를 식별해야 합니다. KMS 키 권한은 적절한 IAM 위탁자가 특정 사용 사례에 KMS 키를 사용할 수 있도록 KMS 키 정책 설명과 자격 증명 기반 정책으로 구성됩니다.

1.  [2단계: KMS 키 정책 설명 준비](#choose-kms-key-policy-statements) - 1단계에서 식별된 사용 사례를 기반으로 관련 KMS 키 정책 설명 템플릿을 선택하고 필수 식별자와 IAM 위탁자 이름을 입력합니다. 기본 KMS 키 정책 설명으로 시작하고 보안 정책에 필요한 경우 고급 KMS 키 정책 설명에 설명된 대로 세분화합니다.

1.  [3단계: 고객 관리형 키 만들기](#create-customer-managed-kms-key) - IAM Identity Center 요구 사항을 충족하는 KMS에서 AWS KMS 키를 생성하고 2단계에서 준비한 KMS 키 정책 설명을 KMS 키 정책에 추가합니다.

1.  [4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](#configure-iam-policies-kms-key) - 1단계에서 식별된 사용 사례를 기반으로 관련 IAM 정책 설명 템플릿을 선택하고 키 ARN을 입력하여 사용할 준비를 합니다. 그런 다음 준비된 IAM 정책 설명을 위탁자의 IAM 정책에 추가하여 각 특정 사용 사례에 대한 IAM 위탁자가 계정 간에 KMS 키를 사용하도록 허용합니다.

1.  [5단계: IAM Identity Center에서 KMS 키 구성](#configure-kms-key-in-iam-identity-center) - IAM Identity Center 인스턴스에서 고객 관리형 KMS 키를 활성화하여 저장 암호화에 사용합니다.

## 1단계: 조직의 사용 사례 식별
<a name="identify-use-cases"></a>

 고객 관리형 KMS 키를 생성하고 구성하기 전에 사용 사례를 식별하고 필요한 KMS 키 권한을 준비합니다. KMS 키 정책에 대한 자세한 내용은 [AWS KMS 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)를 참조하세요.

IAM Identity Center 서비스 API를 호출하는 IAM 위탁자에는 권한이 필요합니다. 예를 들어 위임된 관리자는 권한 세트 정책을 통해 이러한 API를 사용할 수 있는 권한을 부여받을 수 있습니다. IAM Identity Center가 고객 관리형 키로 구성된 경우 IAM 위탁자는 IAM Identity Center 서비스 API를 통해 KMS API를 사용할 수 있는 권한도 있어야 합니다. KMS 키 정책과 IAM 위탁자와 연결된 IAM 정책의 두 위치에서 이러한 KMS API 권한을 정의합니다.

KMS 키 권한은 다음으로 구성됩니다.

1. [3단계: 고객 관리형 키 만들기](#create-customer-managed-kms-key)에서 생성하는 동안 KMS 키에 지정하는 KMS 키 정책 설명.

1. KMS 키를 생성한 후 [4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성](#configure-iam-policies-kms-key)에서 지정하는 IAM 위탁자에 대한 IAM 정책 설명.

 다음 표에서는 KMS 키를 사용할 수 있는 권한이 필요한 관련 사용 사례 및 IAM 위탁자를 지정합니다.


|  사용 사례:  |  KMS 키를 사용할 수 있는 권한이 필요한 IAM 위탁자  |  필수/선택  | 
| --- | --- | --- | 
|  AWS IAM Identity Center 사용  |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html)  | 필수 | 
|  IAM Identity Center에서 AWS 관리형 애플리케이션 사용  |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html)  | 선택 사항 | 
|  활성화된 AWS IAM Identity Center 인스턴스 AWS Control Tower 에서 사용  |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html)  | 선택 사항 | 
|  AWS IAM Identity Center를 사용하여 Amazon EC2 인스턴스로 SSO  |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html)  | 선택 사항 | 
|  고객 관리형 애플리케이션, 권한 세트 프로비저닝 워크플로 또는 AWS Lambda 함수와 같은 IAM 위탁자를 통해 IAM Identity Center 서비스 API를 호출하는 기타 사용 사례  |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/identity-center-customer-managed-keys.html)  | 선택 사항 | 

**참고**  
 테이블에 나열된 여러 IAM 보안 주체에는 AWS KMS API 권한이 필요합니다. 그러나 IAM Identity Center에서 사용자 및 그룹 데이터를 보호하기 위해 IAM Identity Center 및 Identity Store 서비스만 AWS KMS API를 직접 호출합니다.

## 2단계: KMS 키 정책 설명 준비
<a name="choose-kms-key-policy-statements"></a>

로 시작하여 조직에 맞게 [기준 KMS 키 정책](baseline-KMS-key-policy.md) 사용자 지정합니다. 보안 요구 사항에 따라 더 구체적인 정책이 필요한 경우 [고급 KMS 키 정책 설명](advanced-kms-policy.md)의 예제를 사용하여 정책 설명을 수정할 수 있습니다. 이 결정에 대한 지침은 [기준 및 고급 KMS 키 정책 설명 선택 시 고려 사항](considerations-for-customer-managed-kms-keys-advanced.md#kms-policy-considerations-advanced-vs-baseline) 섹션을 참조하세요.

1.  기준 정책을 편집기에 복사하고 KMS 키 정책 설명에 필요한 식별자와 IAM 보안 주체 이름을 삽입합니다. 참조된 식별자의 값을 찾는 데 도움이 필요하면 [필요한 식별자를 찾을 수 있는 위치](#find-the-required-identifiers) 섹션을 참조하세요.

1.  보안 요구 사항에서 요구하는 경우의 예제를 사용하여 정책 설명을 구체화합니다[고급 KMS 키 정책 설명](advanced-kms-policy.md).

**중요**  
 IAM Identity Center에서 이미 사용 중인 키에 대한 KMS 키 정책을 수정할 때는 주의해야 합니다. IAM Identity Center는 KMS 키를 처음 구성할 때 암호화 및 복호화 권한을 검증하지만 후속 정책 변경을 확인할 수 없습니다. 필요한 권한을 실수로 제거하면 IAM Identity Center의 정상 작동이 중단될 수 있습니다. IAM Identity Center의 고객 관리형 키와 관련된 일반적인 오류를 해결하는 지침은 [에서 고객 관리형 키 문제 해결 AWS IAM Identity Center](cmk-related-errors.md) 섹션을 참조하세요.

**참고**  
 IAM Identity Center 및 연관된 Identity Store에서 고객 관리형 KMS 키를 사용하려면 서비스 수준 권한이 필요합니다. 이 요구 사항은 서비스 자격 증명을 사용하여 IAM Identity Center 서비스 APIs를 호출하는 AWS 관리형 애플리케이션으로 확장됩니다. IAM Identity Center 서비스 API가 [전달 액세스 세션](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)과 함께 호출되는 다른 사용 사례의 경우, 시작하는 IAM 위탁자(예: 관리자)만 KMS 키 권한이 필요합니다. 특히 AWS 액세스 포털 및 AWS 관리형 애플리케이션을 사용하는 최종 사용자는 각 서비스를 통해 부여되므로 직접 KMS 키 권한이 필요하지 않습니다.

## 3단계: 고객 관리형 키 만들기
<a name="create-customer-managed-kms-key"></a>

 AWS Management Console 또는 KMS API를 사용하여 고객 관리형 AWS 키를 생성할 수 있습니다. APIs 키를 생성하는 동안 2단계에서 준비한 KMS 키 정책 설명을 KMS 키 정책에 추가합니다. 기본 KMS 키 정책에 대한 지침을 포함한 자세한 지침은 [AWS Key Management Service 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/)를 참조하세요.

키는 다음 요구 사항을 충족해야 합니다.
+ KMS 키는 IAM Identity Center 인스턴스와 동일한 AWS 리전에 있어야 합니다.
+ 단일 리전 또는 다중 리전 키 중에서 선택할 수 있습니다. 그러나 여러 AWS 리전 에서 IAM Identity Center를 사용하려는 경우 다중 리전 KMS 키를 생성해야 합니다. 단일 리전 KMS 키를 다중 리전 KMS 키로 변환할 수 없으므로 단일 리전 KMS 키를 사용해야 하는 특정 요구 사항이 없는 한 다중 리전 KMS 키로 시작하는 것이 좋습니다.
+ KMS 키는 "암호화 및 복호화" 사용에 대해 구성된 대칭 키여야 함
+ KMS 키는 IAM Identity Center의 조직 인스턴스와 동일한 AWS Organizations 관리 계정에 있어야 합니다.

**참고**  
IAM Identity Center를 복제하려는 리전에이 KMS 키를 복제하려는 경우 먼저이 섹션의 설정을 완료한 다음의 지침을 따르는 것이 좋습니다. [IAM Identity Center를 추가 리전에 복제](replicate-to-additional-region.md) 

## 4단계: KMS 키의 교차 계정 사용을 위한 IAM 정책 구성
<a name="configure-iam-policies-kms-key"></a>

IAM Identity Center 위임된 관리자와 같이 다른 AWS 계정의 IAM Identity Center 서비스 APIs를 사용하는 모든 IAM 보안 주체에는 이러한 APIs를 통해 KMS 키를 사용할 수 있도록 허용하는 IAM 정책 설명도 필요합니다.

1단계에서 식별된 각 사용 사례의 경우:

1. 기준 KMS 키 및 IAM 정책 설명에서 관련 IAM 정책 설명 템플릿을 찾습니다.

1. 템플릿을 편집기에 복사하고 3단계에서 KMS 키를 생성한 후 사용할 수 있는 키 ARN을 입력합니다. 키 ARN을 찾는 방법에 대한 도움말은 [필요한 식별자를 찾을 수 있는 위치](#find-the-required-identifiers) 섹션을 참조하세요.

1.  에서 사용 사례와 연결된 IAM 보안 주체의 IAM 정책을 AWS Management Console찾습니다. 이 정책의 위치는 사용 사례와 액세스 권한 부여 방법에 따라 달라집니다.
   + IAM에서 직접 부여된 액세스의 경우 IAM 콘솔에서 IAM 역할과 같은 IAM 위탁자를 찾을 수 있습니다.
   + IAM Identity Center를 통해 부여된 액세스의 경우 IAM Identity Center 콘솔에서 관련 권한 세트를 찾을 수 있습니다.

1. 사용 사례별 IAM 정책 설명을 IAM 역할에 추가하고 변경 사항을 저장합니다.

**참고**  
여기에 설명된 IAM 정책은 자격 증명 기반 정책입니다. 이러한 정책은 IAM 사용자, 그룹 및 역할에 연결할 수 있지만 가능하면 IAM 역할을 사용하는 것이 좋습니다. IAM 역할 및 IAM 사용자에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요.

### 일부 AWS 관리형 애플리케이션의 추가 구성
<a name="additional-config-in-some-aws-apps"></a>

일부 AWS 관리형 애플리케이션은 애플리케이션이 IAM Identity Center 서비스 APIs. 조직에서 IAM Identity Center와 함께 AWS 관리형 애플리케이션을 사용하는 경우 배포된 각 애플리케이션에 대해 다음 단계를 완료합니다.

1. IAM Identity Center에서 애플리케이션을 사용하기 위한 KMS 키 관련 권한을 포함하도록 권한이 업데이트되었는지 확인하려면 애플리케이션의 사용 설명서를 참조하세요.

1. 그런 경우 애플리케이션 사용 설명서의 지침에 따라 권한을 업데이트하여 애플리케이션 작업이 중단되지 않도록 합니다.

**참고**  
 AWS 관리형 애플리케이션이 이러한 권한을 사용하는지 확실하지 않은 경우 배포된 모든 AWS 관리형 애플리케이션의 사용 설명서를 확인하는 것이 좋습니다. 이 구성은 구성이 필요한 각 애플리케이션에 대해 한 번만 수행하면 됩니다.

## 5단계: IAM Identity Center에서 KMS 키 구성
<a name="configure-kms-key-in-iam-identity-center"></a>

**중요**  
이 단계를 진행하기 전에:  
 AWS 관리형 애플리케이션이 고객 관리형 KMS 키와 호환되는지 확인합니다. 호환되는 애플리케이션 목록은 [IAM Identity Center와 함께 사용할 수 있는AWS 관리형 애플리케이션](https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html)을 참조하세요. 호환되지 않는 애플리케이션이 있는 경우 진행하지 마세요.
KMS 키 사용에 필요한 권한을 구성합니다. 적절한 권한이 없으면 이 단계가 실패하거나 IAM Identity Center 관리, AWS 관리형 애플리케이션 사용 및 KMS 키 권한이 필요한 기타 사용 사례를 방해할 수 있습니다. 자세한 내용은 [1단계: 조직의 사용 사례 식별](#identify-use-cases) 단원을 참조하십시오.
IAM 역할을 가진 IAM Identity Center 서비스 APIs 호출하는 AWS 관리형 애플리케이션 및 고객 관리형 애플리케이션에 대한 권한도 IAM Identity Center 서비스 APIs를 통해 KMS 키를 사용할 수 있도록 허용하는지 확인합니다. 일부 AWS 관리형 애플리케이션은 이러한 APIs. 배포된 각 AWS 관리형 애플리케이션의 사용 설명서를 참조하여 특정 KMS 키 권한을 추가해야 하는지 확인합니다.

### IAM Identity Center의 새 조직 인스턴스를 활성화할 때 KMS 키 지정
<a name="specify-kms-key-new-instance"></a>

IAM Identity Center의 새 조직 인스턴스를 활성화할 때 설정 중에 고객 관리형 KMS 키를 지정할 수 있습니다. 이를 통해 인스턴스가 처음부터 저장 암호화에 키를 사용할 수 있습니다. 시작하기 전에 [고객 관리형 KMS 키 및 고급 KMS 키 정책에 대한 고려 사항](considerations-for-customer-managed-kms-keys-advanced.md) 섹션을 참조하세요.

1. **IAM Identity Center 활성화** 페이지에서 **저장 암호화** 섹션을 확장합니다.

1. **Manage Encryption(암호화 관리)**을 선택합니다.

1. **고객 관리형 키**를 선택합니다.

1. **KMS 키**에 대해 다음 중 하나를 수행합니다.

   1. **KMS 키에서 선택**을 선택하고 드롭다운 목록에서 생성한 키를 선택합니다.

   1. **KMS 키 ARN 입력**을 선택하고 키의 전체 ARN을 입력합니다.

1. **저장**을 선택합니다.

1. **활성화**를 선택하여 설정을 완료합니다.

자세한 내용은 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)를 참조하세요.

### IAM Identity Center의 기존 조직 인스턴스에 대한 키 구성 변경
<a name="change-existing-instance-kms"></a>

언제든지 고객 관리형 KMS 키를 다른 키로 변경하거나 AWS 소유 키로 전환할 수 있습니다.

------
#### [ Console ]

 **KMS 키 구성 변경** 

1. [ https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) IAM Identity Center 콘솔을 엽니다.

1. 탐색 창에서 **설정**을 선택합니다.

1. **추가 설정** 탭으로 이동합니다.

1. **암호화 관리**를 선택합니다.

1. 다음 중 하나를 선택합니다.

   1. **고객 관리형 키** - 드롭다운에서 다른 고객 관리형 키를 선택하거나 새 키 ARN을 입력합니다.

   1. **AWS 소유 키** - 기본 암호화 옵션으로 전환합니다.

1. **저장**을 선택합니다.

------
#### [ AWS CLI ]

 **KMS 고객 관리형 키를 사용하도록 IAM Identity Center의 기존 조직 인스턴스 변경** 

```
aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration \
        KeyType=CUSTOMER_MANAGED_KEY,KmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab
```

 ** AWS 소유 키를 사용하도록 IAM Identity Center의 기존 조직 인스턴스 변경** 

```
aws sso-admin update-instance \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --encryption-configuration KeyType=AWS_OWNED_KMS_KEY
```

------

 **고객 관리형 주요 고려 사항** 
+ IAM Identity Center 작업에 대한 KMS 키 구성을 업데이트해도 IAM Identity Center의 활성 사용자 세션에는 영향을 미치지 않습니다. 이 프로세스 중에 AWS 액세스 포털, IAM Identity Center 콘솔 및 IAM Identity Center 서비스 APIs를 계속 사용할 수 있습니다.
+ 새 KMS 키로 전환할 때 IAM Identity Center는 암호화 및 복호화에 키를 성공적으로 사용할 수 있는지 확인합니다. 키 정책 또는 IAM 정책을 설정하는 동안 실수를 한 경우 콘솔에 설명 오류 메시지가 표시되고 이전 KMS 키는 계속 사용됩니다.
+ 기본 연간 KMS 키 교체는 자동으로 수행됩니다. [키 교체](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), [AWS KMS 키 모니터링](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html), [키 삭제에 대한 액세스 제어](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html) 등의 주제에 대한 자세한 내용은 [AWS KMS 개발자 안내서](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)를 참조하세요.

**중요**  
 잘못된 KMS 키 정책으로 인해 IAM Identity Center 인스턴스에서 사용 중인 고객 관리형 KMS 키가 삭제, 비활성화 또는 액세스할 수 없는 경우 인력 사용자와 IAM Identity Center 관리자는 IAM Identity Center를 사용할 수 없습니다. 액세스 손실은 상황에 따라 일시적(키 정책을 수정할 수 있음)이거나 영구적(삭제된 키를 복원할 수 없음)일 수 있습니다. KMS 키 삭제 또는 비활성화와 같은 중요한 작업에 대한 [액세스를 제한](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-adding-permission.html)하는 것이 좋습니다. 또한 IAM Identity Center에 [AWS 액세스할 수 없는 경우 권한이 있는 사용자가에 액세스할 수 있도록 조직에서 휴지통 액세스 절차를](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.sad.5-implement-break-glass-procedures.html) 설정하는 것이 좋습니다. AWS 

## 필요한 식별자를 찾을 수 있는 위치
<a name="find-the-required-identifiers"></a>

 고객 관리형 KMS 키에 대한 권한을 구성할 때 키 정책 및 IAM 정책 설명 템플릿을 완료하려면 특정 AWS 리소스 식별자가 필요합니다. KMS 키 정책 설명에 필수 식별자(예: 조직 ID) 및 IAM 위탁자 이름을 삽입합니다.

 다음은 AWS 관리 콘솔에서 이러한 식별자를 찾기 위한 가이드입니다.

 **IAM Identity Center Amazon 리소스 이름(ARN) 및 Identity Store ARN** 

 IAM Identity Center 인스턴스는 arn:aws:sso:::instance/ssoins-1234567890abcdef와 같은 고유한 ARN이 있는 AWS 리소스입니다. ARN은 서비스 승인 참조의 IAM Identity Center 리소스 유형 섹션에 설명된 패턴을 따릅니다.

 모든 IAM Identity Center 인스턴스에는 사용자 및 그룹 자격 증명을 저장하는 연관된 Identity Store가 있습니다. Identity Store에는 Identity Store ID(예: d-123456789a)라는 고유 식별자가 있습니다. ARN은 [서비스 승인 참조](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html)의 Identity Store 리소스 유형 섹션에 설명된 패턴을 따릅니다.

 IAM Identity Center의 설정 페이지에서 ARN 및 Identity Store ID 값을 모두 찾을 수 있습니다. Identity Store ID는 자격 증명 소스 탭에 있습니다.

 **AWS Organizations ID** 

 키 정책에서 조직 ID(예: o-exampleorg1)를 지정하려면 IAM Identity Center 및 Organizations 콘솔의 설정 페이지에서 해당 값을 찾을 수 있습니다. ARN은 서비스 승인 참조의 조직 리소스 유형 섹션에 설명된 패턴을 따릅니다.

 **KMS 키 ARN** 

 AWS KMS 콘솔에서 KMS 키의 ARN을 찾을 수 있습니다. 왼쪽에서 고객 관리형 키를 선택하고 ARN을 조회하려는 키를 클릭하면 일반 구성 섹션에 표시됩니다. ARN은 서비스 승인 참조의 AWS KMS 리소스 유형 섹션에 설명된 패턴을 따릅니다.

 의 키 정책 AWS KMS 및 문제 해결 AWS KMS 권한에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요. IAM 정책 및 해당 JSON 표현에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요.