KMSを使用したサーバーサイド暗号化
AWS Key Management Service(AWS KMS)によって管理される顧客マスタキーを使用し、KMSによる暗号化を有効にするには、KMSポリシーを作成する必要があります。
次の操作を実行すると、一時的なセキュリティ資格情報を使用し、KMSを使用した暗号化を有効にすることができます。
- •GenerateDataKey
- •DescribeKey
- •暗号化
- •復号化
- •ReEncrypt
参考までに、次のサンプルKMSポリシーを参照してください。
{
"Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "kms:GenerateDataKey", "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": ["arn:aws:kms:region:account:key/<KMS_key>"]
}
]
}
KMSを設定し、中国地域のAmazon S3エンドポイントにアクセスする場合は、次のサンプルポリシーを使用します。
{
"Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "kms:GenerateDataKey", "kms:DescribeKey", "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*" ], "Resource": ["arn:aws-cn:kms:region:account:key/<KMS_key>"]
}
]
}