在AWS中,从创建磁盘,或者从快照中创建EBS磁盘时,都可以选择指定的KMS加密
这样IAM用户就必须得有KMS相关的权限,可以在IAM中添加策略、也可以在KMS中进行策略的添加
这里笔者主要讲述在KMS的policy中,如何添加,可以将如下的json写入到密钥策略中Statement字段中
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-cn:iam::129076312273:user/QQ5201351",
"arn:aws-cn:iam::129076312273:role/Qq_5201351",
"arn:aws-cn:iam::123485740528:root"
]
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant",
"kms:Encrypt",
"kms:ListGrants",
"kms:RevokeGrant"
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
其他说明,如果只是为开关EC2虚拟机,只需要 前面的 "kms:Decrypt", "kms:CreateGrant" 即可
添加了如上的核心策略,IAM用户就可以在创建EBS时引用这个KMS了
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17555871.html
标签:IAM,添加,kms,EBS,KMS,权限 From: https://www.cnblogs.com/5201351/p/17555871.html