博客园  :: 首页  :: 管理

在AWS中,创建磁盘,或者从快照中创建EBS磁盘时,都可以选择指定的KMS加密

这样IAM用户就必须得有KMS相关的权限,可以在IAM中添加策略、也可以在KMS中进行策略的添加

这里笔者主要讲述在KMS的policy中,如何添加,可以将如下的json写入到密钥策略中Statement字段中

{
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws-cn:iam::129076312273:user/QQ5201351",
            "arn:aws-cn:iam::129076312273:role/Qq_5201351",
            "arn:aws-cn:iam::123485740528:root"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:CreateGrant",
        "kms:Encrypt",
        "kms:ListGrants",
        "kms:RevokeGrant"
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

其他说明,如果只是为开关EC2虚拟机,只需要 前面的 "kms:Decrypt", "kms:CreateGrant" 即可

添加了如上的核心策略,IAM用户就可以在创建EBS时引用这个KMS了

 

 

 

尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17555871.html