Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat kebijakan IAM untuk mengakses sumber daya AWS KMS
<a name="AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy"></a>

Aurora dapat mengakses AWS KMS keys yang digunakan untuk mengenkripsi cadangan basis datanya. Namun, Anda harus terlebih dahulu membuat kebijakan IAM yang memberikan izin yang memungkinkan Aurora mengakses kunci KMS.

Kebijakan berikut menambahkan izin yang diperlukan Aurora untuk mengakses kunci KMS atas nama Anda.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAuroraToAccessKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-ID"
    }
  ]
}
```

------

Anda dapat menggunakan langkah-langkah berikut untuk membuat kebijakan IAM yang memberikan izin minimum yang diperlukan Aurora untuk mengakses kunci KMS atas nama Anda.

**Untuk membuat kebijakan IAM untuk memberikan akses ke kunci KMS Anda**

1. Buka [konsol IAM](https://console.aws.amazon.com/iam/home?#home).

1. Di panel navigasi, pilih **Kebijakan**.

1. Pilih **Buat kebijakan**.

1. Di tab **Editor visual**, klik **Pilih layanan**, lalu pilih **KMS**.

1. Untuk **Tindakan**, pilih **Tulis**, lalu pilih **Dekripsi**.

1. Pilih **Sumber Daya**, lalu pilih **Tambahkan ARN**.

1. Di kotak dialog **Tambahkan ARN**, masukkan nilai berikut:
   + **Wilayah** — Ketik AWS Wilayah, seperti`us-west-2`.
   + **Akun** – Ketik nomor akun pengguna.
   + **Nama Log Stream** – Ketik pengidentifikasi kunci KMS.

1. Di kotak dialog **Tambahkan ARN**, pilih **Tambahkan**.

1. Pilih **Tinjau kebijakan**.

1. Atur **Nama** untuk nama kebijakan IAM Anda, misalnya `AmazonRDSKMSKey`. Anda menggunakan nama ini saat membuat peran IAM untuk dikaitkan dengan klaster DB Aurora Anda. Anda juga dapat menambahkan nilai **Deskripsi** opsional.

1. Pilih **Buat kebijakan**.

1. Selesaikan langkah-langkah dalam [Membuat peran IAM untuk memungkinkan Amazon Aurora mengakses layanan AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).