使用 AWS KMS key 加密指標匯出 - Amazon Simple Storage Service
S3 資料表儲存貯體 KMS 許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS KMS key 加密指標匯出

若要授予 Amazon S3 Storage Lens 使用客戶受管金鑰加密指標匯出的許可,您必須使用金鑰政策。若要更新您的金鑰政策,以使用 KMS 金鑰來加密 S3 Storage Lens 指標匯出,請依照以下步驟執行。

授予 S3 Storage Lens 使用 KMS 金鑰加密資料的許可

  1. AWS 管理主控台 使用 AWS 帳戶 擁有客戶受管金鑰的 登入 。

  2. 在 https://https://console.aws.amazon.com/kms 開啟 AWS KMS 主控台。

  3. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器

  4. 在左側導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)

  5. 客戶受管金鑰下,選擇您要用來加密指標匯出的金鑰。 AWS KMS keys 為區域特定,且必須與指標匯出目的地 S3 儲存貯體位於相同的區域。

  6. Key policy (金鑰政策) 下,選擇 Switch to policy view (切換至政策檢視)

  7. 若要更新金鑰政策,請選擇 Edit (編輯)

  8. Edit key policy (編輯金鑰政策) 下,將下列金鑰政策新增至現有的金鑰政策。若要使用此政策,請以您的資訊取代 user input placeholders

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. 選擇儲存變更

如需建立客戶受管金鑰和使用金鑰政策的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的下列主題:

您也可以使用 AWS KMS PUT金鑰政策 API 操作 (PutKeyPolicy) 將金鑰政策複製到您要使用 REST API AWS CLI和 SDKs 加密指標匯出的客戶受管金鑰。

S3 資料表儲存貯體匯出的其他許可

S3 資料表中的所有資料,包括 S3 Storage Lens 指標,預設會使用 SSE-S3 加密進行加密。您可以選擇使用 AWS KMS 金鑰 (SSE-KMS) 加密 Storage Lens 指標報告。如果您選擇使用 KMS 金鑰加密 S3 Storage Lens 指標報告,您必須擁有其他許可。

  1. 使用者或 IAM 角色需要下列許可。您可以使用位於 https://https://console.aws.amazon.com/iam/ 的 IAM 主控台授予這些許可。

    • kms:DescribeKey 在所使用的 AWS KMS 金鑰上

  2. 在金鑰的 AWS KMS 金鑰政策上,您需要下列許可。您可以使用位於 https://https://console.aws.amazon.com/kms 的 AWS KMS 主控台授予這些許可。若要使用此政策,請以您自己的資訊取代 user input placeholders

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}