Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en recursos para AWS KMS
AWS El DMS le permite crear claves de AWS KMS cifrado personalizadas para cifrar los datos de los puntos finales de destino compatibles. Para obtener información sobre cómo crear y asociar una política de clave a la clave de cifrado que cree para el cifrado de datos de destino compatible, consulte Creación y uso de claves de AWS KMS para cifrar datos de destino de Amazon Redshift y Creación de AWS KMS claves para cifrar los objetos de destino de Amazon S3.
Temas
Una política de clave de AWS KMS cifrado personalizada para cifrar los datos de destino de Amazon Redshift
En el ejemplo siguiente se muestra el JSON para la política de claves creada para una clave de cifrado de AWS KMS que se crea para cifrar los datos de destino de Amazon Redshift.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Aquí puede ver dónde hace referencia la política de claves al rol para acceder a los datos de punto de conexión de destino de Amazon Redshift que creó antes de crear la clave. En el ejemplo, es DMS-Redshift-endpoint-access-role. También puede ver las diferentes acciones de clave permitidas para los diferentes principales (usuarios y roles). Por ejemplo, cualquier usuario con DMS-Redshift-endpoint-access-role puede cifrar, descifrar y volver a cifrar los datos de destino. Este usuario también puede generar claves de datos para exportarlas a fin de cifrar los datos del exterior. AWS KMS También pueden devolver información detallada sobre una AWS KMS clave, como la clave que acaba de crear. Además, dicho usuario puede administrar los datos adjuntos a los recursos de AWS
, como el punto de conexión de destino.
Una política de clave de AWS KMS cifrado personalizada para cifrar los datos de destino de Amazon S3
En el ejemplo siguiente se muestra el JSON para la política de claves creada para una clave de cifrado de AWS KMS que se crea para cifrar los datos de destino de Amazon S3.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ]
Aquí puede ver dónde hace referencia la política de claves al rol para acceder a los datos de punto de conexión de destino de Amazon S3 que creó antes de crear la clave. En el ejemplo, es DMS-S3-endpoint-access-role. También puede ver las diferentes acciones de clave permitidas para los diferentes principales (usuarios y roles). Por ejemplo, cualquier usuario con DMS-S3-endpoint-access-role puede cifrar, descifrar y volver a cifrar los datos de destino. Este usuario también puede generar claves de datos para exportarlas a fin de cifrar los datos del exterior. AWS KMS También pueden devolver información detallada sobre una AWS KMS clave, como la clave que acaba de crear. Además, dicho usuario puede administrar los datos adjuntos a los recursos de AWS
, como el punto de conexión de destino.
