创建 IAM 策略以访问 AWS KMS 资源

Aurora 可以访问用于加密其数据库备份的 AWS KMS keys 密钥。不过，您必须先创建 IAM 策略来提供允许 Aurora 访问 KMS 密钥的权限。

以下策略可用于添加 Aurora 代表您访问 KMS 密钥所需的权限。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>"
        }
    ]
}

您可以执行以下步骤创建一个 IAM 策略，以便提供 Aurora 代表您访问 KMS 密钥所需的最小权限。

创建 IAM 策略来授予对您的 KMS 密钥的访问权限

打开 IAM 控制台。
在导航窗格中，选择策略。
选择 Create policy (创建策略)。
在可视化编辑器选项卡上，选择选择服务，然后选择 KMS。
在 Actions (操作) 中，选择 Write (写入)，然后选择 Decrypt (解密)。
依次选择资源和添加 ARN。
在 Add ARN(s) (添加 ARN) 对话框中，输入以下值：
- 区域 – 键入AWS区域，如 us-west-2。
- 账户 – 键入用户账号。
- 日志流名称 – 键入 KMS 密钥标识符。
在 Add ARN(s) (添加 ARN) 对话框中，选择 Add (添加)。
选择 Review policy (查看策略)。
将名称设置为适合您的 IAM 策略的名称，例如 AmazonRDSKMSKey。在创建 IAM 角色与 Aurora 数据库集群关联时，需要使用此名称。您也可以添加可选的描述值。
选择创建策略。
完成创建 IAM 角色以允许 Amazon Aurora 访问AWS服务中的步骤。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

创建 IAM 策略以访问 CloudWatch Logs

创建 IAM 角色以访问AWS服务