我是AWS新手。我的任务是创建一个KMS管理角色,用于创建自定义管理密钥。
我正处于“创建角色”的步骤。我需要选择将使用此角色的服务。
大约有40个选项,例如EC2,EC2容器服务,EMR,S3。什么是最合乎逻辑的服务?
答案 0 :(得分:1)
在AWS IAM中创建角色时,该角色必须与其他角色一起使用。例如。您可能有一个分配了角色的EC2实例(服务器)。然后,在EC2实例内运行的任何内容都将具有分配给该角色的权限。 AWS Lambda函数和其他服务也是如此。
在这种情况下,您正在创建一个角色,因此稍后您将创建一个为您执行CMK创建任务的应用程序/服务/功能。您的角色将分配给您的应用程序。因此,您只需要决定应用程序的运行位置?
如果要在EC2内部运行,您应该在策略中选择Principal作为EC2服务。如果是Lambda,请选择Lambda,依此类推......
请注意,您可以在关键策略中指定AWS账户(root),IAM用户,IAM角色和某些AWS服务作为主体。 IAM组不是有效的主体。
有关详细信息,请参阅此处:
http://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html