# 使用 AWS KMS key 加密您的指标导出
要向 Amazon S3 Storage Lens 存储统计管理工具授予使用客户托管式密钥加密指标导出的权限,必须使用密钥策略。要更新密钥策略,以便您可以使用 KMS 密钥加密 S3 Storage Lens 存储统计管理工具指标导出,请按照以下步骤操作。
**授予 S3 Storage Lens 存储统计管理工具使用您的 KMS 密钥加密数据的权限**
1. 使用拥有客户托管式密钥的 AWS 账户登录 AWS 管理控制台。
1. 从 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 打开 AWS KMS 控制台。
1. 要更改 AWS 区域,请使用页面右上角的 **Region selector (区域选择器)**。
1. 在左侧导航窗格中,选择 **Customer managed keys (客户托管密钥)**。
1. 在**客户托管密钥**下,选择要用于加密指标导出的密钥。AWS KMS keys 是特定于区域的,必须与指标导出目标 S3 桶位于同一区域中。
1. 在 **Key policy (密钥策略)** 下,选择 **Switch to policy view (切换到策略视图)**。
1. 要更新密钥策略,选择 **Edit (编辑)**。
1. 在 **Edit key policy (编辑密钥策略)** 下,将以下密钥策略添加到现有密钥策略。要使用这一策略,请将 `user input placeholders` 替换为您的信息。
```
{
"Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
"Effect": "Allow",
"Principal": {
"Service": "storage-lens.s3.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
"aws:SourceAccount": "source-account-id"
}
}
}
```
1. 选择**保存更改**。
有关创建客户托管和使用密钥策略的更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的以下主题:
+ [创建 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)
+ [ 中的密钥策略AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)
您还可以使用 AWS KMS `PUT` 密钥策略 API 操作([https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html))将密钥策略复制到客户托管式密钥,用于通过 REST API、AWS CLI 和开发工具包对指标导出进行加密。
## S3 表存储桶导出的其他权限
S3 表中的所有数据(包括 S3 Storage Lens 存储统计管理工具指标)均默认使用 SSE-S3 加密。您可以选择使用 AWS KMS 密钥(SSE-KMS)加密 Storage Lens 存储统计管理工具指标报告。如果您选择使用 KMS 密钥加密 S3 Storage Lens 存储统计管理工具指标报告,则必须拥有额外的权限。
1. 用户或 IAM 角色需要以下权限。您可以使用 IAM 控制台来授予这些权限:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
+ `kms:DescribeKey`(对于所使用的 AWS KMS 密钥)
1. 在 AWS KMS 密钥的密钥策略中,您需要以下权限。您可以使用 AWS KMS 控制台来授予这些权限:[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)。要使用此策略,请将 `user input placeholders` 替换为您自己的信息。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnableSystemTablesKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "systemtables.s3.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "EnableKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "maintenance.s3tables.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "/*"
}
}
}
]
}
```