本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 IAM 政策以存取 AWS KMS資源
<a name="AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy"></a>

Aurora 可以存取用於加密其資料庫備份的 AWS KMS keys。不過，您必須先建立可提供許可的 IAM 政策，以允許 Aurora 存取 KMS 金鑰。

下列政策新增讓 Aurora 代表您存取 KMS 金鑰所需的許可。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAuroraToAccessKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-ID"
    }
  ]
}
```

------

您可以使用下列步驟來建立 IAM 政策，以提供讓 Aurora 代表您存取 KMS 金鑰所需的最低許可。

**建立 IAM 政策以授權存取 KMS 金鑰**

1. 開啟 [ IAM 主控台](https://console.aws.amazon.com/iam/home?#home)。

1. 在導覽窗格中，選擇**政策**。

1. 選擇 **Create policy** (建立政策)。

1. 在 **Visual editor (視覺化編輯器)** 標籤中，選擇 **Choose a service (選擇服務)**，然後選擇 **KMS**。

1. 在 **Actions** (動作) 下選擇 **Write** (寫入)，然後選擇 **Decrypt** (解密)。

1. 選擇 **Resources (資源)**，然後選擇 **Add ARN (新增 ARN)**。

1. 在 **Add ARN(s) (新增 ARN)** 對話方塊中，輸入下列值：
   + **區域** – 輸入AWS區域，例如 `us-west-2`。
   + **Account (帳戶)** – 輸入使用者帳戶號碼。
   + **Log Stream Name** (日誌串流名稱) – 輸入 KMS 金鑰識別碼。

1. 在 **Add ARN(s) (新增 ARN)** 對話方塊中，選擇 **Add (新增)**。

1. 選擇 **Review policy (檢閱政策)**。

1. 將 **Name (名稱)** 設為您的 IAM 政策名稱，例如 `AmazonRDSKMSKey`。當您建立要與 Aurora 資料庫叢集相關聯的 IAM 角色時，您可以使用此名稱。您也可以新增選用的 **Description (描述) **值。

1. 選擇 **Create policy** (建立政策)。

1. 完成「[建立 IAM 角色以允許 Amazon Aurora 存取 AWS 服務](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md)」中的步驟。