使用 Amazon KMS key 加密您的指标导出 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon KMS key 加密您的指标导出

要向 Amazon S3 Storage Lens 授予使用客户托管密钥进行加密的权限,必须使用密钥策略。要更新密钥策略,以便您可以使用 KMS 密钥加密 S3 Storage Lens 指标导出,请按照以下步骤操作。

授予使用您的 KMS 密钥进行加密的权限

  1. 使用拥有客户托管密钥的 Amazon Web Services 账户,登录 Amazon Web Services Management Console。

  2. 在 Amazon KMShttps://console.aws.amazon.com/kms 打开 控制台。

  3. 要更改 Amazon Web Services 区域,请使用页面右上角的 Region selector (区域选择器)

  4. 在导航窗格中,选择客户托管密钥

  5. 客户托管密钥下,选择要用于加密指标导出的密钥。Amazon KMS keys 是特定于区域的,必须与指标导出目标 S3 存储桶位于同一区域中。

  6. Key policy (密钥策略) 下,选择 Switch to policy view (切换到策略视图)

  7. 要更新密钥策略,选择 Edit (编辑)

  8. Edit key policy (编辑密钥策略) 下,将以下密钥策略添加到现有密钥策略。

    {
    "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
     "Effect": "Allow",
    "Principal": {
        "Service": "storage-lens.s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
       "StringEquals": {
           "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
           "aws:SourceAccount": "source-account-id"
        }
     }
}

  9. 选择保存更改

有关创建客户托管和使用密钥策略的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的以下主题:

您还可以使用 Amazon KMS PUT 密钥策略 (PutKeyPolicy) 将密钥策略复制到客户托管密钥,以便使用 REST API、Amazon CLI 和开发工具包对导出的指标进行加密。