Amazon Aurora
Aurora 用户指南 (API 版本 2014-10-31)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

创建 IAM 策略以访问 AWS KMS 资源

Aurora 可以访问用于加密其数据库备份的 AWS Key Management Service 密钥。不过,您必须先创建 IAM 策略来提供允许 Aurora 访问 KMS 密钥的权限。

以下策略可用于添加 Aurora 代表您访问 KMS 密钥所需的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", ], "Resource": "arn:aws-cn:kms:<region>:<123456789012>:key/<key-ID>" } ] }

您可以执行以下步骤创建一个 IAM 策略,以便提供 Aurora 代表您访问 KMS 密钥所需的最小权限。

创建 IAM 策略来授予对您的 KMS 密钥的访问权限

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择 Policies

  3. 选择 Create policy

  4. 可视化编辑器选项卡上,选择选择服务,然后选择 KMS

  5. 操作中,展开写入,然后选择解密

  6. 依次选择资源添加 ARN

  7. 添加 ARN 对话框中,输入以下值:

    • 区域 – 键入 AWS 区域,如 us-west-2

    • 账户 – 键入用户账号。

    • 日志流名称 – 键入 KMS 密钥 ID。

  8. 添加 ARN 对话框中,选择添加

  9. 选择查看策略

  10. Name 设置为适合您的 IAM 策略的名称,例如 AmazonRDSKMSKey。在创建 IAM 角色与 Aurora 数据库集群关联时,需要使用此名称。您也可以添加可选的 描述 值。

  11. 选择 Create policy

  12. 完成 创建 IAM 角色以允许 Amazon Aurora 访问 AWS 服务 中的步骤。