기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 고객 관리형 키 생성
AWS Management Console또는 AWS KMS APIs. 대칭 고객 관리형 키를 생성하려면 AWS Key Management Service 개발자 안내서의 [대칭 고객 관리형 키 생성](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html#create-symmetric-cmk) 단계를 따르세요.
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 [고객 관리형 키에 대한 액세스 관리를](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#managing-access) 참조하세요.
## AWS KMS AWS HealthScribe에 대한 키 정책
StartMedicalScribeJob 또는 `DataAccessRole` [StartMedicalScribeStream](https://docs.aws.amazon.com/transcribe/latest/APIReference/API_streaming_StartMedicalScribeStream.html) 요청에서 로 지정한 IAM 역할과 동일한 계정`ResourceAccessRole`에서 키를 사용하는 경우 키 정책을 업데이트할 필요가 없습니다. [StartMedicalScribeJob](https://docs.aws.amazon.com//transcribe/latest/APIReference/API_StartMedicalScribeJob.html) 다른 계정의 고객 관리형 키를 DataAccessRole(전사 작업의 경우) 또는 ResourceAccessRole(스트리밍의 경우)로 사용하려면 다음 작업에 대해 키 정책의 각 역할을 신뢰해야 합니다.
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Encrypt.html) - 고객 관리형 키를 사용한 암호화를 허용합니다.
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_Decrypt.html) - 고객 관리형 키를 사용한 복호화를 허용합니다.
+ [https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com//kms/latest/APIReference/API_DescribeKey.html) - AWS HealthScribe가 키를 검증할 수 있도록 고객 관리형 키 세부 정보를 제공합니다.
다음은 ResourceAccessRole 교차 계정에 AWS HealthScribe 스트리밍에 고객 관리형 키를 사용할 수 있는 권한을 부여하는 데 사용할 수 있는 예제 키 정책입니다. 전사 작업에 이 정책을 사용하려면 DataAccessRole ARN을 사용하도록 `Principal`를 업데이트하고 암호화 컨텍스트를 제거하거나 수정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "AllowAccessForKeyAdministrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:*"
],
"Resource": "*"
},
{
"Sid": "AllowAccessToResourceAccessRoleForMedicalScribe",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
}
},
{
"Sid": "AllowAccessToResourceAccessRoleForDescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ResourceAccessRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
}
```
------
## 액세스 역할에 대한 IAM 정책 권한
DataAccessRole 또는 ResourceAccessRole에 연결된 IAM 정책은 고객 관리형 키와 역할이 동일한 계정에 있는지 아니면 다른 계정에 있는지에 관계없이 필요한 AWS KMS 작업을 수행할 수 있는 권한을 부여해야 합니다. 또한 역할의 신뢰 정책은 역할을 수임할 수 있는 AWS HealthScribe 권한을 부여해야 합니다.
다음 IAM 정책 예제에서는 AWS HealthScribe 스트리밍에 대한 ResourceAccessRole 권한을 부여하는 방법을 보여줍니다. 전사 작업에 이 정책을 사용하려면 `transcribe.streaming.amazonaws.com`를 `transcribe.amazonaws.com`로 바꾸고 암호화 컨텍스트를 제거하거나 수정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
"Condition": {
"StringEquals": {
"kms:ViaService": "transcribe.streaming.amazonaws.com",
"kms:EncryptionContext:aws:us-east-1:transcribe:medical-scribe:session-id": "1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/KMS-Example-KeyId",
"Condition": {
"StringEquals": {
"kms:ViaService": "transcribe.streaming.amazonaws.com"
}
}
}
]
}
```
------
다음은 ResourceAccessRole에 대한 신뢰 정책의 예입니다. DataAccessRole의 경우 `transcribe.streaming.amazonaws.com`를 `transcribe.amazonaws.com`로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "transcribe.streaming.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transcribe:us-west-2:111122223333:*"
}
}
}
]
}
```
------
[정책에서 권한을 지정](https://docs.aws.amazon.com//kms/latest/developerguide/control-access-overview.html#overview-policy-elements)하거나 [키 액세스 문제를 해결하는](https://docs.aws.amazon.com//kms/latest/developerguide/policy-evaluation.html#example-no-iam) 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.