Création d'une stratégie IAM pour accéder aux ressources AWS KMS - Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une stratégie IAM pour accéder aux ressources AWS KMS

Aurora peut accéder à la AWS KMS keys utilisée pour chiffrer ses sauvegardes de base de données. Toutefois, vous devez créer au préalable une stratégie IAM pour fournir les autorisations permettant à Aurora d'accéder aux clés KMS.

La stratégie suivante ajoute les autorisations requises à Aurora pour accéder aux clés KMS en votre nom.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>"
        }
    ]
}

Vous pouvez utiliser les étapes suivantes pour créer une stratégie IAM qui fournit les autorisations minimales requises pour qu'Aurora accède aux clés KMS en votre nom.

Pour créer une stratégie IAM accordant l'accès à vos clés KMS

  1. Ouvrez la console IAM.

  2. Dans le panneau de navigation, choisissez Policies (Politiques).

  3. Sélectionnez Créer une politique.

  4. Sous l'onglet Visual Editor (Éditeur visuel), choisissez Choose a service (Choisir un service), puis KMS.

  5. Pour Actions, choisissez Write (Écrire), puis choisissez Decrypt (Déchiffrer).

  6. Choisissez Resources (Ressources), puis Add ARN (Ajouter un ARN).

  7. Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), entrez les valeurs suivantes :

    • Region (Région) – Saisissez la région AWS, par exemple us-west-2.

    • Account (Compte) – Saisissez le numéro du compte utilisateur.

    • Nom du flux de journalisation – Tapez l'identifiant de clé KMS.

  8. Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), choisissez Ajouter.

  9. Choisissez Examiner une stratégie.

  10. Dans Name (Name), attribuez un nom à votre stratégie IAM, par exemple AmazonRDSKMSKey. Vous utilisez ce nom lorsque vous créez un rôle IAM à associer à votre cluster de base de données Aurora. Vous pouvez également ajouter une valeur Description facultative.

  11. Choisissez Créer une stratégie.

  12. Suivez les étapes de Création d'un rôle IAM pour autoriser Amazon Aurora à accéder aux services AWS.