如何在中国区启用KMS密钥的IAM策略?
0
【以下的问题经过翻译处理】 在大多数的地区,以下KMS密钥策略允许账户使用IAM策略来允许访问KMS密钥,除了密钥策略:
{
"Sid": "Enable IAM policies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
}
然而,在北京和宁夏地区,没有“root用户”或“账户用户”凭据的概念。使用此策略(将arn:aws:替换为arn:aws-cn:)创建KMS密钥会失败。是否可以在中国地区启用KMS密钥的IAM策略?如果可以,应该如何操作?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 要在中国区启用KMS密钥的IAM策略,您可以按照以下步骤操作:
-
在您想要启用IAM策略的中国区内打开AWS密钥管理服务(KMS)控制台。
-
选择您想要启用IAM策略的KMS密钥。
-
在密钥详情页上,选择"密钥策略"选项卡。
-
选择"编辑"按钮以编辑密钥策略。
-
向密钥策略中添加以下语句:
"Statement": [ { "Sid": "启用IAM策略", "Effect": "Allow", "Principal": {"AWS": ""}, "Action": "kms:", "Resource": "*", "Condition": {"Bool": {"kms:AWSAccountId": "true"}} } ]
- 保存密钥策略。
一旦您在中国区内启用了KMS密钥的IAM策略,您就可以使用IAM策略来控制对KMS密钥的访问。例如,您可以创建一个IAM策略,允许用户对特定的KMS密钥进行加密和解密操作,但不允许他们删除密钥或修改其密钥策略。
请注意,启用中国区内的KMS密钥的IAM策略受特定的监管要求的限制,可能需要额外的步骤。请参考AWS文档,并咨询法律和监管合规专家以获取关于中国区特定要求的指导。
相关内容
AWS 官方已更新 1 年前- AWS 官方已更新 3 年前
- AWS 官方已更新 7 个月前
- AWS 官方已更新 2 年前