Usar uma AWS KMS key para criptografar suas exportações de métricas
Para conceder permissão à Lente de Armazenamento do Amazon S3 para criptografar as exportações de métricas usando uma chave gerenciada pelo cliente, é necessário usar uma política de chaves. Para atualizar a política de chaves a fim de poder usar uma chave do KMS para criptografar as exportações de métricas da Lente de Armazenamento do S3, siga estas etapas.
Como conceder permissões à Lente de Armazenamento do S3 para criptografia usando a chave do KMS
-
Faça login no Console de gerenciamento da AWS usando a Conta da AWS que é proprietária da chave gerenciada pelo cliente.
-
Abra o console do AWS KMS em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.
-
No painel de navegação esquerdo, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
-
Em Customer managed keys (Chaves gerenciadas pelo cliente), escolha a chave que você deseja usar para criptografar as exportações de métricas. As AWS KMS keys são específicas da região e devem estar na mesma região que o bucket S3 de destino de exportação de métricas.
-
Em Key policy (Política de chave), escolha Switch to policy view (Alternar para visualização de política).
-
Para atualizar a política de chave, escolha Edit (Editar).
-
Em Edit key policy (Editar política de chave), adicione a seguinte política de chave à existente. Para usar essa política, substitua os
user input placeholders{ "Sid": "Allow Amazon S3 Storage Lens use of the KMS key", "Effect": "Allow", "Principal": { "Service": "storage-lens.s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name", "aws:SourceAccount": "source-account-id" } } } -
Escolha Salvar alterações.
Para obter mais informações sobre como criar chaves gerenciadas pelo cliente e usar políticas de chave, consulte os seguintes tópicos no Guia do desenvolvedor do AWS Key Management Service:
Você também pode usar a operação de API PUT de política de chaves do AWS KMS (PutKeyPolicy
Permissões adicionais para exportações de buckets de tabela do S3
Por padrão, todos os dados nas tabelas do S3, inclusive métricas da Lente de Armazenamento do S3, são criptografados com criptografia SSE-S3. Você pode optar por criptografar o relatório de métricas da Lente de Armazenamento com chaves do AWS KMS (SSE-KMS). Se optar por criptografar os relatórios de métricas da Lente de Armazenamento do S3 com chaves do KMS, você precisará de permissões adicionais.
-
O usuário ou o perfil do IAM precisa das permissões a seguir. É possível conceder essas permissões no console do IAM, em https://console.aws.amazon.com/iam/
. -
kms:DescribeKeyna chave usada do AWS KMS.
-
-
Na política de chave para a chave do AWS KMS, as permissões a seguir são necessárias. É possível conceder essas permissões no console do AWS KMS, em https://console.aws.amazon.com/kms
. Para usar essa política, substitua os user input placeholders{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableSystemTablesKeyUsage", "Effect": "Allow", "Principal": { "Service": "systemtables.s3.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" } } }, { "Sid": "EnableKeyUsage", "Effect": "Allow", "Principal": { "Service": "maintenance.s3tables.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*" } } } ] }
