建立 IAM 政策來存取 AWS KMS 資源 - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 政策來存取 AWS KMS 資源

Aurora 可以存取用於加密其資料庫備份的 AWS KMS keys。不過,您必須先建立可提供許可的 IAM 政策,以允許 Aurora 存取 KMS 金鑰。

下列政策新增讓 Aurora 代表您存取 KMS 金鑰所需的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>"
        }
    ]
}

您可以使用下列步驟來建立 IAM 政策,以提供讓 Aurora 代表您存取 KMS 金鑰所需的最低許可。

建立 IAM 政策以授權存取 KMS 金鑰

  1. 開啟 IAM 主控台

  2. 在導覽窗格中,選擇 政策

  3. 選擇 Create policy (建立政策)。

  4. Visual editor (視覺化編輯器) 標籤中,選擇 Choose a service (選擇服務),然後選擇 KMS

  5. Actions (動作) 下選擇 Write (寫入),然後選擇 Decrypt (解密)。

  6. 選擇 Resources (資源),然後選擇 Add ARN (新增 ARN)

  7. Add ARN(s) (新增 ARN) 對話方塊中,輸入下列值:

    • Region (區域) – 輸入 AWS 區域,例如 us-west-2

    • Account (帳戶) – 輸入使用者帳戶號碼。

    • Log Stream Name (日誌串流名稱) – 輸入 KMS 金鑰識別碼。

  8. Add ARN(s) (新增 ARN) 對話方塊中,選擇 Add (新增)

  9. 選擇 Review policy (檢閱政策)

  10. Name (名稱) 設為您的 IAM 政策名稱,例如 AmazonRDSKMSKey。當您建立要與 Aurora 資料庫叢集相關聯的 IAM 角色時,您可以使用此名稱。您也可以新增選用的 Description (描述) 值。

  11. 選擇 Create policy (建立政策)。

  12. 完成「建立 IAM 角色以允許 Amazon Aurora 存取 AWS 服務」中的步驟。