关于为IAM用户添加KMS权限-可以完成对EC2开关机以及创建EBS时引用KMS的权限策略
在AWS中,从创建磁盘,或者从快照中创建EBS磁盘时,都可以选择指定的KMS加密
这样IAM用户就必须得有KMS相关的权限,可以在IAM中添加策略、也可以在KMS中进行策略的添加
这里笔者主要讲述在KMS的policy中,如何添加,可以将如下的json写入到密钥策略中Statement字段中
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws-cn:iam::129076312273:user/QQ5201351", "arn:aws-cn:iam::129076312273:role/Qq_5201351", "arn:aws-cn:iam::123485740528:root" ] }, "Action": [ "kms:Decrypt", "kms:CreateGrant", "kms:Encrypt", "kms:ListGrants", "kms:RevokeGrant" "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
其他说明,如果只是为开关EC2虚拟机,只需要 前面的 "kms:Decrypt", "kms:CreateGrant" 即可
添加了如上的核心策略,IAM用户就可以在创建EBS时引用这个KMS了
作者:一名卑微的IT民工
本博客所有文章仅用于学习、研究和交流目的,欢迎非商业性质转载。
由于博主的水平不高,文章没有高度、深度和广度,只是凑字数,不足和错误之处在所难免,希望大家能够批评指出。
博主是利用读书、参考、引用、复制和粘贴等多种方式打造成自己的文章,请原谅博主成为一个卑微的IT民工!