Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis sumber daya untuk AWS KMS
AWS DMSmemungkinkan Anda membuat kunci AWS KMS enkripsi khusus untuk mengenkripsi data titik akhir target yang didukung. Untuk mempelajari cara membuat dan melampirkan kebijakan kunci ke kunci enkripsi yang Anda buat untuk enkripsi data target yang didukung, lihat Membuat dan menggunakan kunci AWS KMS untuk mengenkripsi data target Amazon Redshift dan Membuat AWS KMS kunci untuk mengenkripsi objek target Amazon S3.
Topik
Kebijakan untuk kunci AWS KMS enkripsi khusus untuk mengenkripsi data target Amazon Redshift
Contoh berikut menunjukkan kebijakan kunci yang dibuat JSON untuk kunci AWS KMS enkripsi yang Anda buat untuk mengenkripsi data target Amazon Redshift.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Di sini, Anda dapat melihat di mana kebijakan kunci mereferensikan peran untuk mengakses data titik akhir target Amazon Redshift yang Anda buat sebelum membuat kunci. Dalam contoh, yaitu DMS-Redshift-endpoint-access-role. Anda juga dapat melihat berbagai tindakan kunci yang diizinkan untuk prinsipal yang berbeda (pengguna dan peran). Misalnya, setiap pengguna dengan DMS-Redshift-endpoint-access-role dapat mengenkripsi, mendekripsi, dan mengenkripsi ulang data target. Pengguna tersebut juga dapat menghasilkan kunci data untuk ekspor untuk mengenkripsi data di luar. AWS KMS Mereka juga dapat mengembalikan informasi terperinci tentang AWS KMS kunci, seperti kunci yang baru saja Anda buat. Selain itu, pengguna semacam itu dapat mengelola lampiran sumber daya AWS
, seperti titik akhir target.
Kebijakan untuk kunci AWS KMS enkripsi khusus untuk mengenkripsi data target Amazon S3
Contoh berikut menunjukkan kebijakan kunci yang dibuat JSON untuk kunci AWS KMS enkripsi yang Anda buat untuk mengenkripsi data target Amazon S3.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ]
Di sini, Anda dapat melihat di mana kebijakan kunci mereferensikan peran untuk mengakses data titik akhir target Amazon S3 yang Anda buat sebelum membuat kunci. Dalam contoh, yaitu DMS-S3-endpoint-access-role. Anda juga dapat melihat berbagai tindakan kunci yang diizinkan untuk prinsipal yang berbeda (pengguna dan peran). Misalnya, setiap pengguna dengan DMS-S3-endpoint-access-role dapat mengenkripsi, mendekripsi, dan mengenkripsi ulang data target. Pengguna tersebut juga dapat menghasilkan kunci data untuk ekspor untuk mengenkripsi data di luar. AWS KMS Mereka juga dapat mengembalikan informasi terperinci tentang AWS KMS kunci, seperti kunci yang baru saja Anda buat. Selain itu, pengguna semacam itu dapat mengelola lampiran sumber daya AWS
, seperti titik akhir target.
