本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用高级配置
高级配置允许您通过设置自己的参数来自定义您的实例。要使用预设参数的高级配置创建 AWS Supply Chain 实例,请按照以下步骤操作。
1. **在高级设置中选择 “编辑”**。
![\[Interface for creating AWS Supply Chain application with options to create or edit in advanced setup.\]](http://docs.aws.amazon.com/zh_cn/aws-supply-chain/latest/adminguide/images/create-instance.png)
将会出现 “**实例属性**” 页面。
![\[Instance properties form with fields for AWS region, instance name, description, and KMS key.\]](http://docs.aws.amazon.com/zh_cn/aws-supply-chain/latest/adminguide/images/instance-properties.png)
1. 在**实例属性**页面上输入以下内容:
+ **名称**-输入实例名称。
+ **描述**-输入您的 AWS Supply Chain 实例的描述(例如,生产实例、测试实例等)。
+ **AWS KMS 密钥(可选)**— 您可以选择使用默认 AWS KMS 密钥(推荐)或提供自己的 AWS KMS 密钥。请参阅[使用自定义 AWS KMS 密钥](#using-custom-keys)了解更多信息。
+ **实例标签**-您可以向您的实例添加可用于识别的标签。例如,您可以添加标签来定义要创建的实例的类型(例如,生产、测试、UAT 等)。
**注意**
如果您计划使用 S/4 Hana 数据连接,请确保您提供的 AWS KMS 密钥的`aws-supply-chain-access`标签的`true`关联**值为**。
1. 选择**创建实例**。
1. (可选)创建 AWS Supply Chain 实例后,如果您选择在 AWS KMS 密钥下使用自己的密**AWS KMS 钥**,请更新您的 KMS 策略 AWS Supply Chain 以允许访问您的 AWS KMS 密钥。
**注意**
将*YourAccountNumber*和*YourInstanceID*替换为您的 AWS 账户 和 AWS Supply Chain 实例 ID。
```
{
"Sid": "Allow AWS Supply Chain to access the AWS KMS Key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::YourAccountNumber:role/service-role/scn-instance-role-YourInstanceID"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}
```
## 使用自定义 AWS KMS 密钥
创建实例时,您可以使用自己的 AWS KMS 密钥。如果您想管理自己的密钥,但又不想使用现有密钥,则可以创建一个新密钥。
**注意**
对于 AWS Supply Chain 实例,建议使用 AWS 自有密钥是默认设置。
**使用现有 AWS KMS 密钥**
1. 选择 “**自定义加密设置”**。
1. 前往 **“选择密 AWS KMS 钥**”。
1. 在提供的字段中输入您的密钥。
1. 选择**更新**。
**创建密 AWS KMS 钥**
1. 选择**创建**。
1. 按照[创建 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)中的步骤操作。
1. 使用以下权限更新新密钥。
+ 定义密钥管理权限:保持未选中状态
+ 定义密钥使用权限:保持未选中状态
+ 更新密钥策略:编辑密钥策略并替换为:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access through SecretManager for all principals in the account that are authorized to use SecretManager",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncryptFrom",
"kms:ReEncryptTo"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
"kms:CallerAccount": "YourAccountNumber"
}
}
},
{
"Sid": "Allow AWS Supply Chain to access the AWS KMS Key",
"Effect": "Allow",
"Principal": {
"Service": "scn.Region.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant"
],
"Resource": "*"
}
]
}
```
------