# 创建 IAM 策略以访问 AWS KMS 资源
<a name="AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy"></a>

Aurora 可以访问用于加密其数据库备份的 AWS KMS keys 密钥。不过，您必须先创建 IAM 策略来提供允许 Aurora 访问 KMS 密钥的权限。

以下策略可用于添加 Aurora 代表您访问 KMS 密钥所需的权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAuroraToAccessKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-ID"
    }
  ]
}
```

------

您可以执行以下步骤创建一个 IAM 策略，以便提供 Aurora 代表您访问 KMS 密钥所需的最小权限。

**创建 IAM 策略来授予对您的 KMS 密钥的访问权限**

1. 打开 [IAM 控制台](https://console.aws.amazon.com/iam/home?#home)。

1. 在导航窗格中，选择**策略**。

1. 选择 **Create policy (创建策略)**。

1. 在**可视化编辑器**选项卡上，选择**选择服务**，然后选择 **KMS**。

1. 在 **Actions (操作)** 中，选择 **Write (写入)**，然后选择 **Decrypt (解密)**。

1. 依次选择**资源**和**添加 ARN**。

1. 在 **Add ARN(s) (添加 ARN)** 对话框中，输入以下值：
   + **区域** – 键入AWS区域，如 `us-west-2`。
   + **账户** – 键入用户账号。
   + **日志流名称** – 键入 KMS 密钥标识符。

1. 在 **Add ARN(s) (添加 ARN)** 对话框中，选择 **Add (添加)**。

1. 选择 **Review policy (查看策略)**。

1. 将**名称**设置为适合您的 IAM 策略的名称，例如 `AmazonRDSKMSKey`。在创建 IAM 角色与 Aurora 数据库集群关联时，需要使用此名称。您也可以添加可选的**描述**值。

1. 选择**创建策略**。

1. 完成 [创建 IAM 角色以允许 Amazon Aurora 访问AWS服务](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md) 中的步骤。