Criar uma política do IAM para acessar recursos do AWS KMS
O Aurora pode acessar as AWS KMS keys usadas para criptografar os seus backups de banco de dados. No entanto, primeiro você precisa criar uma política do IAM que forneça as permissões que possibilitem que o Aurora acesse as chaves do KMS.
A política a seguir adiciona as permissões exigidas pelo Aurora para acessar chaves do KMS em seu nome.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>" } ] }
Você pode usar as etapas a seguir para criar uma política do IAM que forneça as permissões mínimas exigidas para que o Aurora acesse as chaves do KMS em seu nome.
Para criar uma política do IAM para conceder acesso a suas chaves do KMS
-
Abra o console do IAM
. -
No painel de navegação, escolha Policies (Políticas).
-
Escolha Create policy (Criar política).
-
Na guia Editor visual, selecione Escolher um serviço e, em seguida, escolha KMS.
-
Em Actions (Ações), expanda Write (Gravação) e escolha Decrypt (Descriptografar).
-
Escolha Resources (Recursos) e Add ARN (Adicionar Nome de recurso da Amazon (ARN) para bucket).
-
Na caixa de diálogo Adicionar Nome(s) de recurso(s) da Amazon (ARN(s)), insira os seguintes valores:
-
Region (Região): digite a região da AWS, como
us-west-2. -
Account (Conta) – insira o número de conta do usuário.
-
Nome do fluxo de log: digite o identificador da chave do KMS.
-
-
Na caixa de diálogo Add ARN(s) (Adicionar ARN(s)), escolha Add (Adicionar).
-
Escolha Review policy (Revisar política).
-
Defina Name como um nome para a sua política do IAM, por exemplo
AmazonRDSKMSKey. Você usa esse nome ao criar uma função do IAM a ser associada ao seu cluster de banco de dados do Aurora. Você também pode adicionar um valor opcional para Description (Descrição). -
Escolha Create policy (Criar política).
Siga as etapas em Criar uma função do IAM para permitir que o Amazon Aurora acesse produtos da AWS.
