교차 계정 사용자가 사용자 지정 AWS KMS 키로 암호화된 S3 객체에 액세스하려고 할 때 액세스 거부 오류가 발생하는 이유는 무엇인가요?

최종 업데이트 날짜: 2021년 4월 27일

Amazon Simple Storage Service(Amazon S3) 버킷이 사용자 지정 AWS Key Management Service(AWS KMS) 키로 암호화되어 있습니다. 다른 AWS 계정의 사용자가 내 버킷에 있는 객체에 액세스하려고 할 때 액세스 거부 오류가 발생합니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

계정 A의 AWS KMS로 암호화된 버킷에 대한 액세스 권한을 계정 B의 사용자에게 부여하려면 다음과 같은 권한을 설정해야 합니다.

  • 계정 A의 버킷 정책이 계정 B에 액세스 권한을 부여해야 합니다.
  • 계정 A의 AWS KMS 키 정책이 계정 B의 사용자에게 액세스 권한을 부여해야 합니다.
  • 계정 B의 AWS Identity and Access Management(IAM) 정책이 계정 A의 버킷과 키 모두에 대한 사용자 액세스 권한을 부여해야 합니다.

액세스 거부 오류 문제를 해결하려면 이러한 권한이 올바르게 설정되어 있는지 확인합니다.

해결 방법

계정 A의 버킷 정책이 계정 B의 사용자에게 액세스 권한을 부여해야 합니다.

계정 A에서 버킷 정책을 검토하고 계정 B의 계정 ID에 액세스를 허용하는 설정이 있는지 확인합니다.

예를 들어, 다음 버킷 정책은 계정 ID 111122223333:s3:GetObject에 대한 액세스를 허용합니다.

{
  "Id": "ExamplePolicy1",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
      "Principal": {
        "AWS": [
          "111122223333"
        ]
      }
    }
  ]
}

계정 A의 AWS KMS 키 정책이 계정 B의 사용자에게 액세스 권한을 부여해야 합니다.

AWS KMS 키 정책은 계정 B의 사용자에게 kms:Decrypt 작업에 대한 권한을 부여해야 합니다. 예를 들어, 하나의 IAM 사용자 또는 역할에만 키 액세스 권한을 부여하려면 키 정책을 다음과 같이 설정합니다.

{
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::111122223333:role/role_name"
        ]
    },
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "*"
}

계정 A에서 AWS 관리 콘솔 정책 보기를 사용하여 키 정책을 검토합니다. 키 정책에서 "Sid": "Allow use of the key"를 찾습니다. 그런 다음 계정 B의 사용자가 해당 설정에 주체로 나열되어 있는지 확인합니다.

"Sid": "Allow use of the key"라는 설정이 보이지 않는 경우 콘솔 기본 보기를 사용하여 키 정책으로 전환합니다. 그런 다음 계정 B의 계정 ID를 키에 대한 액세스 권한이 있는 외부 계정으로 추가합니다.

계정 B의 IAM 사용자 정책은 계정 A의 버킷과 키 모두에 대한 사용자 액세스를 부여해야 합니다.

계정 B에서 다음 단계를 수행합니다.

1.    IAM 콘솔을 엽니다.

2.    계정 B에서 사용자와 연결된 IAM 사용자 또는 역할을 엽니다.

3.    IAM 사용자 또는 역할에 적용된 권한 정책의 목록을 검토합니다.

4.    버킷과 키 모두에 액세스 권한을 부여하는 정책이 적용되어 있는지 확인합니다.

참고: 계정 B의 IAM 사용자 또는 역할에 이미 관리자 액세스 권한이 있는 경우에는 키에 대한 액세스 권한을 부여할 필요가 없습니다.

다음 예제 정책은 (버킷의 객체에 대한 복호화를 위해) 계정 B의 IAM 사용자에게 객체 및 KMS 키에 대한 액세스 권한을 부여합니다.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "ExampleStmt1",
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
        },
        {
            "Sid": "ExampleStmt2",
            "Action": [
                "kms:Decrypt"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

참고:

  • 계정 A의 버킷 정책이 계정 B에 액세스 권한을 부여해야 합니다.
  • 계정 A의 AWS KMS 키는 계정 A의 버킷과 동일한 리전에 있어야 합니다.
  • 계정 A의 AWS KMS 키 정책이 계정 B의 사용자에게 액세스 권한을 부여해야 합니다.
  • 계정 B의 IAM 정책은 계정 A의 버킷과 키 모두에 대한 사용자 액세스를 부여해야 합니다.

IAM 사용자의 권한을 추가 또는 수정하는 방법에 대한 자세한 내용은 IAM 사용자의 권한 변경을 참조하세요.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?