As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas baseadas em recursos para AWS KMS
AWS DMSpermite que você crie chaves de AWS KMS criptografia personalizadas para criptografar dados de endpoint de destino compatíveis. Para saber como criar e associar uma política de chave à chave de criptografia criada para a criptografia compatível de dados de destino, consulte Criar e utilizar as chaves do AWS KMS para criptografar os dados de destino do Amazon Redshift e Criação de AWS KMS chaves para criptografar objetos de destino do Amazon S3.
Tópicos
Uma política para uma chave de AWS KMS criptografia personalizada para criptografar dados de destino do Amazon Redshift
O exemplo a seguir mostra a JSON política de chaves criada para uma chave de AWS KMS criptografia que você cria para criptografar dados de destino do Amazon Redshift.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ] }
Aqui, é possível ver onde a política de chave faz referência ao perfil para acessar dados do endpoint de destino do Amazon Redshift criado antes de criar a chave. No exemplo, é DMS-Redshift-endpoint-access-role. Também é possível ver as diferentes ações chave permitidas para os diferentes principais (usuários e funções). Por exemplo, qualquer usuário com DMS-Redshift-endpoint-access-role pode criptografar, descriptografar e criptografar novamente os dados de destino. Esse usuário também pode gerar chaves de dados para exportação para criptografar os dados externos. AWS KMS Eles também podem retornar informações detalhadas sobre uma AWS KMS chave, como a chave que você acabou de criar. Além disso, esse usuário pode gerenciar anexos aos recursos da AWS
, como o endpoint de destino.
Uma política para uma chave de AWS KMS criptografia personalizada para criptografar dados de destino do Amazon S3
O exemplo a seguir mostra a JSON política de chaves criada para uma chave de AWS KMS criptografia que você cria para criptografar dados de destino do Amazon S3.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:root" ] }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/Admin" ] }, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*", "kms:TagResource", "kms:UntagResource", "kms:ScheduleKeyDeletion", "kms:CancelKeyDeletion" ], "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role" ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true } } } ]
Aqui, é possível ver onde a política de chave faz referência ao perfil para acessar dados de endpoint de destino do Amazon S3 criado antes de criar a chave. No exemplo, é DMS-S3-endpoint-access-role. Também é possível ver as diferentes ações chave permitidas para os diferentes principais (usuários e funções). Por exemplo, qualquer usuário com DMS-S3-endpoint-access-role pode criptografar, descriptografar e criptografar novamente os dados de destino. Esse usuário também pode gerar chaves de dados para exportação para criptografar os dados externos. AWS KMS Eles também podem retornar informações detalhadas sobre uma AWS KMS chave, como a chave que você acabou de criar. Além disso, esse usuário pode gerenciar anexos para recursos da AWS
, como o endpoint de destino.
