创建 IAM 策略以访问 Amazon KMS 资源 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建 IAM 策略以访问 Amazon KMS 资源

Aurora 可以访问用于加密其数据库备份的 Amazon KMS keys 密钥。不过,您必须先创建 IAM 策略来提供允许 Aurora 访问 KMS 密钥的权限。

以下策略可用于添加 Aurora 代表您访问 KMS 密钥所需的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:<region>:<123456789012>:key/<key-ID>" } ] }

您可以执行以下步骤创建一个 IAM 策略,以便提供 Aurora 代表您访问 KMS 密钥所需的最小权限。

创建 IAM 策略来授予对您的 KMS 密钥的访问权限
  1. 打开 IAM 控制台

  2. 在导航窗格中,选择策略

  3. 选择 Create policy (创建策略)

  4. 可视化编辑器选项卡上,选择选择服务,然后选择 KMS

  5. Actions (操作) 中,选择 Write (写入),然后选择 Decrypt (解密)

  6. 依次选择资源添加 ARN

  7. Add ARN(s) (添加 ARN) 对话框中,输入以下值:

    • 区域 – 键入Amazon区域,如 us-west-2

    • 账户 – 键入用户账号。

    • 日志流名称 – 键入 KMS 密钥标识符。

  8. Add ARN(s) (添加 ARN) 对话框中,选择 Add (添加)

  9. 选择 Review policy (查看策略)

  10. 名称设置为适合您的 IAM 策略的名称,例如 AmazonRDSKMSKey。在创建 IAM 角色与 Aurora 数据库集群关联时,需要使用此名称。您也可以添加可选的描述值。

  11. 选择创建策略

  12. 完成 创建 IAM 角色以允许 Amazon Aurora 访问Amazon服务 中的步骤。