本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关键策略中的 Amazon 服务权限
许多 Amazon 服务 Amazon KMS keys 用来保护其管理的资源。在服务使用 Amazon 拥有的密钥 或 Amazon 托管式密钥 时,该服务会为这些 KMS 密钥建立和维护密钥策略。
但是,当您通过 Amazon 服务使用客户托管式密钥时,您可以设置并维护密钥策略。该密钥策略必须允许服务具有代表您保护资源所需的最低权限。建议您遵循最低权限原则:仅授予服务所需的权限。您可以通过了解服务需要哪些权限,并使用 Amazon 全局条件键和 Amazon KMS 条件键来优化权限,以有效做到这一点。
要查找服务在客户托管式密钥上需要的权限,请参阅该服务的加密文档。以下列表包含一些服务文档的链接:
-
Amazon CloudTrail权限-为配置 Amazon KMS 密钥策略 CloudTrail
-
亚马逊 Elastic Block Stor e 权限-亚马逊 EC2 用户指南和亚马逊 EC2 用户指南
-
Amazon Lambda权限-Lambda 的静态数据加密
-
亚马逊 Q 权限-亚马逊 Q 的数据加密
-
Amazon Relational Database Servic e 权限-Amazon KMS 密钥管理
-
Amazon Secrets Manager权限-授权 KMS 密钥的使用
-
亚马逊简单队列服务权限-亚马逊 SQS 密钥管理