使用 AWS KMS key 加密您的指标导出 - Amazon Simple Storage Service

使用 AWS KMS key 加密您的指标导出

要向 Amazon S3 Storage Lens 存储统计管理工具授予使用客户托管式密钥加密指标导出的权限,必须使用密钥策略。要更新密钥策略,以便您可以使用 KMS 密钥加密 S3 Storage Lens 存储统计管理工具指标导出,请按照以下步骤操作。

授予 S3 Storage Lens 存储统计管理工具使用您的 KMS 密钥加密数据的权限

  1. 使用拥有客户托管式密钥的 AWS 账户登录 AWS Management Console。

  2. https://console.aws.amazon.com/kms 打开 AWS KMS 控制台。

  3. 要更改 AWS 区域,请使用页面右上角的 Region selector (区域选择器)

  4. 在左侧导航窗格中,选择 Customer managed keys (客户托管密钥)

  5. 客户托管密钥下,选择要用于加密指标导出的密钥。AWS KMS keys 是特定于区域的,必须与指标导出目标 S3 桶位于同一区域中。

  6. Key policy (密钥策略) 下,选择 Switch to policy view (切换到策略视图)

  7. 要更新密钥策略,选择 Edit (编辑)

  8. Edit key policy (编辑密钥策略) 下,将以下密钥策略添加到现有密钥策略。要使用这一策略,请将 user input placeholders 替换为您的信息。

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. 选择保存更改

有关创建客户托管和使用密钥策略的更多信息,请参阅 AWS Key Management Service 开发人员指南中的以下主题:

您还可以使用 AWS KMS PUT 密钥策略 API 操作(PutKeyPolicy)将密钥策略复制到客户托管式密钥,用于通过 REST API、AWS CLI 和开发工具包对指标导出进行加密。