Tabla de contenido
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource":
"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-
efgh-111111111111"
}
Si los tamaños de objeto son mayores, el cliente de Amazon S3 que se utiliza para el proceso de
importación utiliza la carga multiparte. Si inicia una carga multiparte mediante SSE-KMS, todas las partes
cargadas se cifran con la clave de AWS KMS especificada. Debido a que las piezas están cifradas, deben
descifrarse para que puedan montarse para completar la carga multiparte. Por lo tanto, debe tener permiso
para descifrar la clave de AWS KMS (kms:Decrypt) cuando ejecute una carga multiparte para Amazon
S3 con SSE-KMS.
A continuación se muestra un ejemplo de rol de IAM necesaria para un trabajo de importación que necesita
el permiso kms:Decrypt.
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey","kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-
efgh-111111111111"
}
A continuación se muestra un ejemplo de un rol de IAM necesario para un trabajo de exportación.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
}
]
}
Si utiliza el cifrado del lado del servidor con claves administradas por AWS KMS para cifrar los buckets de
Amazon S3 asociados con el trabajo de exportación, también tiene que añadir la siguiente instrucción al rol
de IAM.
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource":
"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-
efgh-111111111111"
}
AWS Snowball Guía del usuario
Autorización y control de acceso
91
Tabla de contenido
Solución de problemas
