Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan AWS KMS key untuk mengenkripsi ekspor metrik Anda
Untuk memberikan izin kepada Lensa Penyimpanan Amazon S3 guna mengenkripsi ekspor metrik menggunakan CMK, Anda harus menggunakan kebijakan kunci. Untuk memperbarui kebijakan kunci sehingga Anda dapat menggunakan kunci KMS untuk mengenkripsi ekspor metrik Lensa Penyimpanan S3 Anda, ikuti langkah-langkah berikut.
Untuk memberikan izin Lensa Penyimpanan S3 guna mengenkripsi data dengan menggunakan kunci KMS
-
Masuk ke Konsol Manajemen AWS dengan menggunakan Akun AWS yang memiliki kunci yang dikelola pelanggan.
-
Buka AWS KMS konsol di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi kiri, pilih CMK.
-
Di bawah Kunci terkelola pelanggan, pilih kunci yang ingin Anda gunakan untuk mengenkripsi ekspor metrik. AWS KMS keys khusus Wilayah dan harus berada di Wilayah yang sama dengan bucket S3 tujuan ekspor metrik.
-
Di Bawah Kebijakan kunci, pilih Beralih ke tampilan kebijakan.
-
Untuk memperbarui kebijakan kunci, pilih Edit.
-
Di Bawah Edit kebijakan kunci, tambahkan kebijakan kunci berikut ke kebijakan kunci yang ada. Untuk menggunakan kebijakan ini, ganti
user input placeholders{ "Sid": "Allow Amazon S3 Storage Lens use of the KMS key", "Effect": "Allow", "Principal": { "Service": "storage-lens.s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name", "aws:SourceAccount": "source-account-id" } } } -
Pilih Simpan perubahan.
Untuk informasi selengkapnya tentang cara membuat CMK, dan menggunakan kebijakan kunci, lihat topik berikut di Panduan Developer AWS Key Management Service :
Anda juga dapat menggunakan AWS KMS PUT key policy API operation (PutKeyPolicy) untuk menyalin kebijakan kunci ke kunci terkelola pelanggan yang ingin Anda gunakan untuk mengenkripsi ekspor metrik menggunakan REST API,, AWS CLI dan. SDKs
Izin tambahan untuk ekspor bucket tabel S3
Semua data dalam tabel S3 termasuk metrik Lensa Penyimpanan S3 dienkripsi dengan enkripsi SSE-S3 secara default. Anda dapat memilih untuk mengenkripsi laporan metrik Lensa Penyimpanan Anda dengan AWS KMS kunci (SSE-KMS). Jika Anda memilih untuk mengenkripsi laporan metrik Lensa Penyimpanan S3 Anda dengan kunci KMS, Anda harus memiliki izin tambahan.
-
Peran pengguna atau IAM memerlukan izin berikut. Anda dapat memberikan izin ini dengan menggunakan konsol IAM di. https://console.aws.amazon.com/iam/
-
kms:DescribeKeypada AWS KMS kunci yang digunakan
-
-
Pada kebijakan kunci untuk AWS KMS kunci, Anda memerlukan izin berikut. Anda dapat memberikan izin ini dengan menggunakan AWS KMS konsol di https://console.aws.amazon.com/kms
. Untuk menggunakan kebijakan ini, ganti user input placeholders{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableSystemTablesKeyUsage", "Effect": "Allow", "Principal": { "Service": "systemtables.s3.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "EnableKeyUsage", "Effect": "Allow", "Principal": { "Service": "maintenance.s3tables.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*" } } } ] }
