Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für ressourcenbasierte Richtlinien für AWS KMS
AWS Mit DMS können Sie benutzerdefinierte AWS KMS Verschlüsselungsschlüssel erstellen, um unterstützte Zielendpunktdaten zu verschlüsseln. Informationen zum Erstellen und Anfügen einer Schlüsselrichtlinie an den Verschlüsselungsschlüssel, den Sie für die unterstützte Verschlüsselung von Zieldaten erstellen, finden Sie unter Erstellen und Verwenden von AWS KMS-Schlüsseln für die Verschlüsselung von Amazon-Redshift-Zieldaten und Erstellen von AWS KMS-Schlüsseln zum Verschlüsseln von Amazon-S3-Zielobjekten.
Themen
Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zum Verschlüsseln von Amazon-Redshift-Zieldaten
Das folgende Beispiel zeigt den JSON für die Schlüsselrichtlinie, die für einen AWS KMS -Verschlüsselungsschlüssel erstellt wurde, den Sie zum Verschlüsseln von Amazon-Redshift-Zieldaten erstellen.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Hier können Sie sehen, wo die Schlüsselrichtlinie auf die Rolle für den Zugriff auf Amazon-Redshift-Zielendpunktdaten verweist, die Sie vor dem Erstellen des Schlüssels erstellt haben. Im Beispiel ist dies DMS-Redshift-endpoint-access-role. Sie können auch die verschiedenen Schlüsselaktionen sehen, die für die verschiedenen Prinzipale (Benutzer und Rollen) zulässig sind. Beispielsweise kann jeder Benutzer mit DMS-Redshift-endpoint-access-role die Zieldaten verschlüsseln, entschlüsseln und neu verschlüsseln. Ein solcher Benutzer kann auch Datenschlüssel für den Export generieren, um die Daten außerhalb von zu verschlüsseln AWS KMS. Sie können auch detaillierte Informationen zu einem AWS KMS Schlüssel zurückgeben, z. B. den Schlüssel, den Sie gerade erstellt haben. Darüber hinaus kann ein solcher Benutzer Anhänge an AWS
-Ressourcen verwalten, z. B. den Zielendpunkt.
Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zum Verschlüsseln von Amazon S3-Zieldaten
Das folgende Beispiel zeigt den JSON für die Schlüsselrichtlinie, die für einen AWS KMS -Verschlüsselungsschlüssel erstellt wurde, den Sie zum Verschlüsseln von Amazon-S3-Zieldaten erstellen.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ]
Hier können Sie sehen, wo die Schlüsselrichtlinie auf die Rolle für den Zugriff auf Amazon-S3-Zielendpunktdaten verweist, die Sie vor dem Erstellen des Schlüssels erstellt haben. Im Beispiel ist dies DMS-S3-endpoint-access-role. Sie können auch die verschiedenen Schlüsselaktionen sehen, die für die verschiedenen Prinzipale (Benutzer und Rollen) zulässig sind. Beispielsweise kann jeder Benutzer mit DMS-S3-endpoint-access-role die Zieldaten verschlüsseln, entschlüsseln und neu verschlüsseln. Ein solcher Benutzer kann auch Datenschlüssel für den Export generieren, um die Daten außerhalb von zu verschlüsseln AWS KMS. Sie können auch detaillierte Informationen zu einem AWS KMS Schlüssel zurückgeben, z. B. den Schlüssel, den Sie gerade erstellt haben. Darüber hinaus kann ein solcher Benutzer Anhänge an AWS
-Ressourcen verwalten, z. B. den Zielendpunkt.
