Creazione di una policy IAM per l'accesso alle risorseAWS KMS - Amazon Aurora

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una policy IAM per l'accesso alle risorseAWS KMS

Aurora può accedere alle AWS KMS keys utilizzate per la crittografia dei backup dei database. Tuttavia, è necessario innanzitutto creare una policy IAM che assegni le autorizzazioni che consentano ad Aurora di accedere alle chiavi KMS.

La seguente policy aggiunge le autorizzazioni che Aurora richiede per accedere alle chiavi KMS per tuo conto.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>"
        }
    ]
}

È possibile seguire i passaggi seguenti per creare una policy IAM che concede le autorizzazioni minime necessarie affinché Aurora possa accedere alle chiavi KMS per tuo conto.

Per creare una policy IAM per consentire l'accesso alle chiavi KMS

  1. Aprire la console IAM.

  2. Nel pannello di navigazione, selezionare Policies (Policy).

  3. Scegli Create Policy (Crea policy).

  4. Nella scheda Visual editor (Editor visivo), selezionare Choose a service (Scegli un servizio) e scegliere KMS.

  5. Per Actions (Operazioni), scegliere Write (Scrivi) e selezionare Decrypt (Decrittografa).

  6. Scegliere Resources (Risorse) e selezionare Add ARN (Aggiungi ARN).

  7. Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), immettere i seguenti valori:

    • Regione: immettere la regione AWS, ad esempio us-west-2.

    • Account – Specificare il numero dell'account utente.

    • Nome flusso di registro: digitare l'identificatore della chiave KMS.

  8. Nella finestra di dialogo Add ARN(s) (Aggiungi ARN), scegliere Add (Aggiungi).

  9. Scegliere Review policy (Esamina policy).

  10. Impostare Name (Nome) su un nome per la policy IAM, ad esempio AmazonRDSKMSKey. Questo nome viene utilizzato quando si crea un ruolo IAM e lo si associa al cluster DB Aurora. È anche possibile aggiungere un valore Description (Descrizione) facoltativo.

  11. Seleziona Create Policy (Crea policy).

  12. Completa le fasi descritte in Creazione di un ruolo IAM per consentire ad Amazon Aurora di accedere ai servizi AWS.