使用 Amazon KMS CMK 加密您的指标导出 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon KMS CMK 加密您的指标导出

要向 Amazon S3 Storage Lens 授予使用客户托管 Amazon Key Management Service (Amazon KMS) 客户主密钥 (CMK) 进行加密的权限,必须使用密钥策略。要更新密钥策略,以便您可以使用 Amazon KMS CMK 加密 S3 Storage Lens 指标导出,请按照以下步骤操作。

授予使用您的 Amazon KMS CMK 进行加密的权限

  1. 使用拥有客户托管 CMK 的 Amazon Web Services 账户 ,登录 Amazon Web Services Management Console。

  2. 在 Amazon KMShttps://console.aws.amazon.com/kms 打开 控制台。

  3. 要更改 Amazon Web Services 区域 ,请使用页面右上角的 Region selector (区域选择器)

  4. 在导航窗格中,选择客户托管密钥

  5. 客户托管密钥下,选择要用于加密指标导出的密钥。CMK 是特定于区域的,必须与指标导出目标 S3 存储桶位于同一区域中。

  6. 密钥策略下,选择切换到策略视图

  7. 要更新密钥策略,选择编辑

  8. 编辑密钥策略下,将以下密钥策略添加到现有密钥策略。

    { "Sid": "Allow Amazon S3 Storage Lens use of the CMK", "Effect": "Allow", "Principal": { "Service": "storage-lens.s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey" ], "Resource": "*" }
  9. 选择保存更改

有关创建 Amazon KMS 客户托管 CMK 和使用密钥策略的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的以下主题:

您还可以使用 Amazon KMS PUT 密钥策略 (PutKeyPolicy) 将密钥策略复制到客户托管 CMK,以便使用 REST API、Amazon CLI 和开发工具包对导出的指标进行加密。