Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur les ressources pour AWS KMS
AWS DMSvous permet de créer des clés de AWS KMS chiffrement personnalisées pour chiffrer les données des terminaux cibles pris en charge. Pour découvrir comment créer et attacher une stratégie de clé à la clé de chiffrement que vous générez pour le chiffrement des données cibles prises en charge, consultez Création et utilisation de clés AWS KMS pour chiffrer les données cibles Amazon Redshift et Création de AWS KMS clés pour chiffrer les objets cibles d'Amazon S3.
Rubriques
Une politique pour une clé de AWS KMS chiffrement personnalisée afin de chiffrer les données cibles d'Amazon Redshift
L'exemple suivant montre la JSON politique de clé créée pour une clé de AWS KMS chiffrement que vous créez pour chiffrer les données cibles Amazon Redshift.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Ici, vous pouvez voir à quel endroit la stratégie de clé référence le rôle permettant d’accéder aux données du point de terminaison cible Amazon Redshift que vous avez créées avant de créer la clé. Dans cet exemple, il s'agit de DMS-Redshift-endpoint-access-role. Vous pouvez également voir les différentes actions clés autorisées pour les différentes entités (utilisateurs et rôles). Par exemple, tout utilisateur avec DMS-Redshift-endpoint-access-role peut chiffrer, déchiffrer et rechiffrer les données cibles. Un tel utilisateur peut également générer des clés de données à exporter afin de AWS KMS chiffrer les données externes. Ils peuvent également renvoyer des informations détaillées sur une AWS KMS clé, telles que la clé que vous venez de créer. En outre, un utilisateur avec ce rôle peut gérer les pièces jointes aux ressources AWS
, telles que le point de terminaison cible.
Une politique pour une clé de AWS KMS chiffrement personnalisée afin de chiffrer les données cibles d'Amazon S3
L'exemple suivant montre la JSON politique de clé créée pour une clé de AWS KMS chiffrement que vous créez pour chiffrer les données cibles d'Amazon S3.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ]
Ici, vous pouvez voir à quel endroit la stratégie de clé référence le rôle permettant d’accéder aux données du point de terminaison cible Amazon S3 que vous avez créées avant de créer la clé. Dans cet exemple, il s'agit de DMS-S3-endpoint-access-role. Vous pouvez également voir les différentes actions clés autorisées pour les différentes entités (utilisateurs et rôles). Par exemple, tout utilisateur avec DMS-S3-endpoint-access-role peut chiffrer, déchiffrer et rechiffrer les données cibles. Un tel utilisateur peut également générer des clés de données à exporter afin de AWS KMS chiffrer les données externes. Ils peuvent également renvoyer des informations détaillées sur une AWS KMS clé, telles que la clé que vous venez de créer. En outre, un utilisateur avec ce rôle peut gérer les pièces jointes aux ressources AWS
, telles que le point de terminaison cible.
