KMS 密钥的权限 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

KMS 密钥的权限

为 Amazon S3 KMS 密钥创建一个策略,该策略允许您对 AWS Config 为 S3 存储桶传输提供的对象使用基于 KMS 的加密。

使用 IAM 角色时 KMS 密钥所需的权限(S3 存储桶传输)

如果您使用 IAM 角色设置 AWS Config,您可以将以下权限策略附加到 KMS 密钥:

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "*myKMSKeyARN*", "Principal": { "AWS": [ "account-id1", "account-id2", "account-id3" ] } } ] }

使用服务相关角色时 KMS 密钥的必需权限(S3 存储桶传递)

如果您使用服务相关角色来设置 AWS Config,则需要将以下权限策略附加到 KMS Keys。

{ "Id": "Policy_ID", "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN" } ] }