使用 Amazon KMS key 加密您的指标导出 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon KMS key 加密您的指标导出

要向 Amazon S3 Storage Lens 存储统计管理工具授予使用客户托管式密钥加密指标导出的权限,必须使用密钥策略。要更新密钥策略,以便您可以使用 KMS 密钥加密 S3 Storage Lens 存储统计管理工具指标导出,请按照以下步骤操作。

授予 S3 Storage Lens 存储统计管理工具使用您的 KMS 密钥加密数据的权限

  1. 使用拥有客户托管式密钥的 Amazon Web Services 账户登录 Amazon Web Services Management Console。

  2. 在 Amazon KMShttps://console.aws.amazon.com/kms 打开 控制台。

  3. 要更改 Amazon Web Services 区域,请使用页面右上角的 Region selector (区域选择器)

  4. 在左侧导航窗格中,选择 Customer managed keys (客户托管密钥)

  5. 客户托管密钥下,选择要用于加密指标导出的密钥。Amazon KMS keys 是特定于区域的,必须与指标导出目标 S3 桶位于同一区域中。

  6. Key policy (密钥策略) 下,选择 Switch to policy view (切换到策略视图)

  7. 要更新密钥策略,选择 Edit (编辑)

  8. Edit key policy (编辑密钥策略) 下,将以下密钥策略添加到现有密钥策略。要使用这一策略,请将 user input placeholders 替换为您的信息。

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. 选择 Save changes(保存更改)。

有关创建客户托管和使用密钥策略的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的以下主题:

您还可以使用 Amazon KMS PUT 密钥策略 API 操作(PutKeyPolicy)将密钥策略复制到客户托管式密钥,用于通过 REST API、Amazon CLI 和开发工具包对指标导出进行加密。