346. KMS는 반드시 AWS network 내 사용

<1> 요청사항

보안 정책상   KMS는 반드시 AWS network 내 사용해야 하고,   공인 서비스를 사용하면 안된다.

어떤 조합이 가장 만족스러운 결과를 가져오는가?

<2> 조치   

1. AWS KMS정책을 사용하은  aws sourceVpce 조건으로 사용 한다.

2. VPC 엔드포인드는 AWS KMS를 위해 사설 dns를 활성화 시켜라.

<3> 확인법

 "aws:sourceVpce": " vpce-1a2b3c4d"

https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html

Amazon S3의 VPC 엔드포인트에 대한 예제 버킷 정책 - Amazon Simple Storage Service

https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/kms-vpc-endpoint.html

VPC 엔드포인트를 통해 AWS KMS에 연결 - AWS Key Management Service

감사합니다.