搭配 AWS 服務使用資料保留的 IAM 政策 - AWS Wickr

本指南記載於 2025 年 3 月 13 日發行的新 AWS Wickr 管理主控台。如需 AWS Wickr 管理主控台傳統版本的文件,請參閱 Classic 管理指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 AWS 服務使用資料保留的 IAM 政策

如果您計劃 AWS 搭配 Wickr 資料保留機器人使用其他服務,您必須確保主機具有適當的 AWS Identity and Access Management (IAM) 角色和政策來存取它們。您可以將資料保留機器人設定為使用 Secrets Manager、Amazon S3、CloudWatch、Amazon SNS 和 AWS KMS。下列 IAM 政策允許存取這些服務的特定動作。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

您可以透過識別要允許主機上容器存取之每個服務的特定物件,來建立更嚴格的 IAM 政策。移除您不打算使用之 AWS 服務的 動作。例如,如果您打算僅使用 Amazon S3 儲存貯體,請使用下列政策,這會移除 secretsmanager:GetSecretValuesns:Publishkms:GenerateDataKeycloudwatch:PutMetricData動作。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}

如果您使用 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體託管資料保留機器人,請使用 Amazon EC2 常見案例建立 IAM 角色,並使用上述政策定義指派政策。