Erstellen einer IAM-Zugriffsrichtlinie für AWS KMS-Ressourcen - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer IAM-Zugriffsrichtlinie für AWS KMS-Ressourcen

Aurora kann auf die AWS KMS keys zugreifen, die für die Verschlüsselung ihrer Datenbanksicherungen verwendet wird. Sie müssen jedoch zunächst eine IAM-Richtlinie erstellen, die Aurora den Zugriff auf KMS-Schlüssel erlaubt.

Die folgende Richtlinie fügt die Berechtigungen hinzu, die Aurora für den Zugriff auf KMS-Schlüssel in Ihrem Namen benötigt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>"
        }
    ]
}

Anhand der folgenden Schritte können Sie eine IAM-Richtlinie erstellen, die Aurora die erforderlichen Mindestberechtigungen für den Zugriff auf KMS-Schlüssel in Ihrem Namen erteilt.

So erstellen Sie eine IAM-Richtlinie zum Gewähren des Zugriffs auf Ihre KMS-Schlüssel

  1. Öffnen Sie die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Policies aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie auf der Registerkarte Visueller Editor die Option Service auswählen und dann KMS aus.

  5. Wählen Sie unter Actions (Aktionen) die Option Write (Schreiben) und danach Decrypt (Entschlüsseln) aus.

  6. Wählen Sie Ressourcen und danach ARN hinzufügen.

  7. Geben Sie im Dialogfeld ARN(s) hinzufügen die folgenden Werte ein:

    • Region – Geben Sie die AWS-Region ein, wie etwa us-west-2.

    • Konto – Geben Sie die Nummer des Benutzerkontos ein.

    • Log Stream Name - Geben Sie den KMS-Schlüsselbezeichner ein.

  8. Wählen Sie im Dialogfeld Add ARN(s) (ARN(s) hinzufügen) Add (Hinzufügen).

  9. Wählen Sie Review policy (Richtlinie prüfen).

  10. Stellen Sie Name auf einen Namen für Ihre IAM-Zugriffsrichtlinie ein, zum Beispiel AmazonRDSKMSKey. Sie verwenden diesen Namen, wenn Sie eine IAM-Rolle erstellen, um sie Ihrem Aurora-DB-Cluster zuzuweisen. Sie können auch einen optionalen Wert für Description (Beschreibung) hinzufügen.

  11. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  12. Führen Sie die Schritte unter au Erstellen einer IAM-Rolle, um Amazon Aurora den Zugriff auf AWS-Services zu erlauben.