# 使用 Amazon KMS key 加密您的指标导出 要向 Amazon S3 Storage Lens 存储统计管理工具授予使用客户托管式密钥加密指标导出的权限,必须使用密钥策略。要更新密钥策略,以便您可以使用 KMS 密钥加密 S3 Storage Lens 存储统计管理工具指标导出,请按照以下步骤操作。 **授予 S3 Storage Lens 存储统计管理工具使用您的 KMS 密钥加密数据的权限** 1. 使用拥有客户托管式密钥的 Amazon Web Services 账户登录 Amazon Web Services 管理控制台。 1. 从 [https://console.aws.amazon.com/kms](https://console.amazonaws.cn/kms) 打开 Amazon KMS 控制台。 1. 要更改 Amazon Web Services 区域,请使用页面右上角的 **Region selector (区域选择器)**。 1. 在左侧导航窗格中,选择 **Customer managed keys (客户托管密钥)**。 1. 在**客户托管密钥**下,选择要用于加密指标导出的密钥。Amazon KMS keys 是特定于区域的,必须与指标导出目标 S3 桶位于同一区域中。 1. 在 **Key policy (密钥策略)** 下,选择 **Switch to policy view (切换到策略视图)**。 1. 要更新密钥策略,选择 **Edit (编辑)**。 1. 在 **Edit key policy (编辑密钥策略)** 下,将以下密钥策略添加到现有密钥策略。要使用这一策略,请将 ` {{user input placeholders}} ` 替换为您的信息。 ``` { "Sid": "Allow Amazon S3 Storage Lens use of the KMS key", "Effect": "Allow", "Principal": { "Service": "storage-lens.s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:s3:{{us-east-1}}: {{source-account-id}}:storage-lens/{{your-dashboard-name}}", "aws:SourceAccount": "{{source-account-id}}" } } } ``` 1. 选择**保存更改**。 有关创建客户托管和使用密钥策略的更多信息,请参阅 *Amazon Key Management Service 开发人员指南*中的以下主题: + [创建 KMS 密钥](https://docs.amazonaws.cn/kms/latest/developerguide/create-keys.html) + [ 中的密钥策略Amazon KMS](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html) 您还可以使用 Amazon KMS `PUT` 密钥策略 API 操作([https://docs.amazonaws.cn/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.amazonaws.cn/kms/latest/APIReference/API_PutKeyPolicy.html))将密钥策略复制到客户托管式密钥,用于通过 REST API、Amazon CLI 和开发工具包对指标导出进行加密。