Una policy per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon Redshift Una politica per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon S3

Esempi di policy basate sulle risorse per AWS KMS

AWSDMS consente di creare chiavi di AWS KMS crittografia personalizzate per crittografare i dati degli endpoint di destinazione supportati. Per informazioni su come creare e collegare una policy alla chiave di crittografia creata per la crittografia dei dati di destinazione supportati, consulta Creazione e utilizzo di AWS KMS chiavi per crittografare i dati di destinazione di Amazon Redshift e Creazione di AWS KMS chiavi per crittografare gli oggetti di destinazione di Amazon S3.

Argomenti

Una policy per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon Redshift
Una politica per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon S3

Una policy per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon Redshift

Nell'esempio seguente viene illustrato il JSON per la policy della chiave creata per una chiave di crittografia AWS KMS per crittografare i dati di destinazione Amazon Redshift.

Qui è possibile vedere dove la policy della chiave fa riferimento al ruolo per accedere ai dati dell'endpoint di destinazione Amazon Redshift creati prima di generare la chiave. Nell'esempio è DMS-Redshift-endpoint-access-role. È inoltre possibile vedere le diverse operazioni di chiave consentite per le diverse entità principali (utenti e ruoli). Ad esempio, qualsiasi utente con DMS-Redshift-endpoint-access-role può crittografare, decrittografare e crittografare nuovamente i dati di destinazione. Tale utente può anche generare chiavi di dati da esportare per crittografare i dati all'esterno. AWS KMS Possono anche restituire informazioni dettagliate su una AWS KMS chiave, ad esempio la chiave appena creata. Inoltre, l'utente può gestire i collegamenti alle risorse AWS, ad esempio l'endpoint di destinazione.

Una politica per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon S3

Nell'esempio seguente viene illustrato il JSON per la policy della chiave creata per una chiave di crittografia AWS KMS per crittografare i dati di destinazione Amazon S3.

JSON


{
    "Id": "key-consolepolicy-3",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::987654321098:root"
                ]
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::987654321098:role/Admin"
                ]
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

Qui è possibile vedere dove la policy della chiave fa riferimento al ruolo per accedere ai dati dell'endpoint di destinazione Amazon S3 creati prima di generare la chiave. Nell'esempio è DMS-S3-endpoint-access-role. È inoltre possibile vedere le diverse operazioni di chiave consentite per le diverse entità principali (utenti e ruoli). Ad esempio, qualsiasi utente con DMS-S3-endpoint-access-role può crittografare, decrittografare e crittografare nuovamente i dati di destinazione. Tale utente può anche generare chiavi di dati da esportare per crittografare i dati all'esterno. AWS KMS Possono anche restituire informazioni dettagliate su una AWS KMS chiave, ad esempio la chiave appena creata. Inoltre, l'utente può gestire il collegamento alle risorse AWS, ad esempio l'endpoint di destinazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate su identità

Utilizzo dei segreti per accedere alle risorse