Creación de una política de IAM para acceder a los recursos de AWS KMS
Aurora puede obtener acceso a las AWS KMS keys utilizadas para cifrar sus copias de seguridad de bases de datos. Sin embargo, primero debe crear una política de IAM que asigne los permisos que hacen posible que Aurora obtenga acceso a las claves de KMS.
La política siguiente añade los permisos que requiere Aurora para obtener acceso a las claves de KMS en su nombre.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:
<region>
:<123456789012>
:key/<key-ID>
" } ] }
Puede seguir los pasos indicados a continuación para crear una política de IAM que otorgue los permisos mínimos necesarios para que Aurora tenga acceso a las claves de KMS en su nombre.
Para crear una política de IAM para conceder acceso a sus claves de KMS
-
Abra la consola de IAM
. -
En el panel de navegación, seleccione Policies (Políticas).
-
Elija Create Policy.
-
En la pestaña Visual editor (Editor visual), seleccione Choose a service (Elegir un servicio) y, a continuación, KMS.
-
En Actions (Acciones), elija Write (Escritura) y después elija Decrypt (Descifrar).
-
Elija Resources (Recursos) y después Add ARN (Añadir ARN).
-
En el cuadro de diálogo Add ARN(s) (Añadir ARN), escriba los siguientes valores:
-
Región: especifique la región de AWS, como
us-west-2
. -
Cuenta: especifique el número de cuenta de usuario.
-
Nombre del flujo de registros: escriba el identificador de la clave de KMS.
-
-
En el cuadro de diálogo Add ARN(s) (Agregar ARN), elija Add (Agregar).
-
Elija Review policy (Revisar política).
-
En Nombre, escriba un nombre para la política de IAM, por ejemplo,
AmazonRDSKMSKey
. Utilizará este nombre al crear un rol de IAM y asociarlo al clúster de base de datos Aurora. También puede añadir una descripción opcional en Description (Descripción). -
Elija Create Policy.
Realice los pasos que se indican en Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS.