IAM在 AWS 服务中使用数据保留的政策 - AWS Wickr

本指南提供了 AWS Wickr 的文档。有关 Wickr Enterprise(即 Wickr 的本地版本),请参阅《企业管理指南》。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM在 AWS 服务中使用数据保留的政策

如果您计划在 Wickr 数据保留机器人中使用其他 AWS 服务,则必须确保主机具有相应的 AWS Identity and Access Management (IAM) 角色和策略来访问它们。你可以将数据保留机器人配置为使用 Secrets Manager、Amazon S3、 CloudWatchSNS、Amazon 和 AWS KMS。以下IAM策略允许访问这些服务的特定操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

您可以通过标识要允许主机上的容器访问的每项服务的特定对象来创建更严格的IAM策略。移除您不打算使用的 AWS 服务的操作。例如,如果您打算仅使用 Amazon S3 存储桶,则使用以下策略,该策略会删除 secretsmanager:GetSecretValuesns:Publishkms:GenerateDataKeycloudwatch:PutMetricData 操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}

如果您使用亚马逊弹性计算云 (AmazonEC2) 实例来托管数据保留机器人,请使用亚马逊EC2常见案例创建IAM角色并使用上面的策略定义分配策略。