本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
金鑰政策中 AWS 服務的許可
許多 AWS 服務會使用 AWS KMS keys 來保護他們管理的資源。當服務使用 AWS 擁有的金鑰 或 AWS 受管金鑰 時,服務會建立並維護這些 KMS 金鑰的金鑰政策。
但是,當您透過 AWS 服務使用客戶受管金鑰時,您需要設定並維護金鑰政策。該金鑰政策必須允許服務具有代表您保護資源所需的最低許可。建議您遵循最低權限原則:僅授予服務所需的許可。您可以藉由了解服務需要哪些權限並使用 AWS 全域條件金鑰和 AWS KMS 條件金鑰來調整許可,有效地完成這個操作。
若要尋找服務對客戶受管金鑰所需的許可,請參閱服務的加密文件。下列清單包含部分 服務文件的連結:
-
AWS CloudTrail 許可 - 設定 CloudTrail 的 AWS KMS 金鑰政策
-
Amazon Elastic Block Store 許可 - Amazon EC2 使用者指南和 Amazon EC2 使用者指南
-
AWS Lambda 許可 - Lambda 的靜態資料加密
-
Amazon Q 許可 - Amazon Q 的資料加密
-
Amazon Relational Database Service 許可 - AWS KMS 金鑰管理
-
AWS Secrets Manager 許可 - 授權使用 KMS 金鑰
-
Amazon Simple Queue Service 許可 - Amazon SQS 金鑰管理
