在AWS中,从创建磁盘,或者从快照中创建EBS磁盘时,都可以选择指定的KMS加密
这样IAM用户就必须得有KMS相关的权限,可以在IAM中添加策略、也可以在KMS中进行策略的添加
这里笔者主要讲述在KMS的policy中,如何添加,可以将如下的json写入到密钥策略中Statement字段中
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws-cn:iam::129076312273:user/QQ5201351", "arn:aws-cn:iam::129076312273:role/Qq_5201351", "arn:aws-cn:iam::123485740528:root" ] }, "Action": [ "kms:Decrypt", "kms:CreateGrant", "kms:Encrypt", "kms:ListGrants", "kms:RevokeGrant" "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
其他说明,如果只是为开关EC2虚拟机,只需要 前面的 "kms:Decrypt", "kms:CreateGrant" 即可
添加了如上的核心策略,IAM用户就可以在创建EBS时引用这个KMS了
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17555871.html