Usar uma AWS KMS key para criptografar suas exportações de métricas - Amazon Simple Storage Service

Usar uma AWS KMS key para criptografar suas exportações de métricas

Para conceder permissão à Lente de Armazenamento do Amazon S3 para criptografar as exportações de métricas usando uma chave gerenciada pelo cliente, é necessário usar uma política de chaves. Para atualizar a política de chaves a fim de poder usar uma chave do KMS para criptografar as exportações de métricas da Lente de Armazenamento do S3, siga estas etapas.

Como conceder permissões à Lente de Armazenamento do S3 para criptografia usando a chave do KMS

  1. Faça login no AWS Management Console usando a Conta da AWS que é proprietária da chave gerenciada pelo cliente.

  2. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  3. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  4. No painel de navegação esquerdo, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  5. Em Customer managed keys (Chaves gerenciadas pelo cliente), escolha a chave que você deseja usar para criptografar as exportações de métricas. As AWS KMS keys são específicas da região e devem estar na mesma região que o bucket S3 de destino de exportação de métricas.

  6. Em Key policy (Política de chave), escolha Switch to policy view (Alternar para visualização de política).

  7. Para atualizar a política de chave, escolha Edit (Editar).

  8. Em Edit key policy (Editar política de chave), adicione a seguinte política de chave à existente. Para usar essa política, substitua os user input placeholders por suas próprias informações.

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. Escolha Salvar alterações.

Para obter mais informações sobre como criar chaves gerenciadas pelo cliente e usar políticas de chave, consulte os seguintes tópicos no Guia do desenvolvedor do AWS Key Management Service:

Você também pode usar a operação de API PUT de política de chaves do AWS KMS (PutKeyPolicy) para copiar a política de chaves para as chaves gerenciadas pelo cliente que deseja usar para criptografar as exportações de métricas usando a API REST, a AWS CLI e SDKs.