搭配 AWS 服務使用資料保留的 IAM 政策 - AWS Wickr

本指南記載於 2025 年 3 月 13 日發行的新 AWS Wickr 管理主控台。如需 AWS Wickr 管理主控台傳統版本的文件,請參閱傳統管理指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 AWS 服務使用資料保留的 IAM 政策

如果您計劃 AWS 搭配 Wickr 資料保留機器人使用其他服務,您必須確保主機具有適當的 AWS Identity and Access Management (IAM) 角色和政策來存取它們。您可以將資料保留機器人設定為使用 Secrets Manager、Amazon S3、CloudWatch、Amazon SNS 和 AWS KMS。下列 IAM 政策允許存取這些服務的特定動作。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "secretsmanager:GetSecretValue",
                "sns:Publish",
                "cloudwatch:PutMetricData",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

您可以透過識別您要允許主機上容器存取之每個服務的特定物件,來建立更嚴格的 IAM 政策。移除您不打算使用之 AWS 服務的動作。例如,如果您打算僅使用 Amazon S3 儲存貯體,請使用下列政策,這會移除 secretsmanager:GetSecretValuesns:Publishkms:GenerateDataKeycloudwatch:PutMetricData動作。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "*"
        }
    ]
}

如果您使用 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體託管資料保留機器人,請使用 Amazon EC2 常見案例建立 IAM 角色,並使用上述政策定義指派政策。