Terraform 0.11

aws_kms_grant




terraform

aws_kms_grant

KMS ग्राहक मास्टर कुंजी के लिए संसाधन-आधारित अभिगम नियंत्रण तंत्र प्रदान करता है।

उदाहरण उपयोग

resource "aws_kms_key" "a" {}

resource "aws_iam_role" "a" {
name = "iam-role-for-grant"

  assume_role_policy = <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": ""
    }
  ]
}
EOF
}

resource "aws_kms_grant" "a" {
  name              = "my-grant"
  key_id            = "${aws_kms_key.a.key_id}"
  grantee_principal = "${aws_iam_role.a.arn}"
  operations        = [ "Encrypt", "Decrypt", "GenerateDataKey" ]
  constraints {
    encryption_context_equals {
      Department = "Finance"
    }
  }
}

तर्क संदर्भ

निम्नलिखित तर्क समर्थित हैं:

  • name - (वैकल्पिक, नए संसाधन बल) अनुदान की पहचान के लिए एक अनुकूल नाम।
  • key_id - (आवश्यक, नए संसाधन के लिए) ग्राहक मास्टर कुंजी (CMK) के लिए विशिष्ट पहचानकर्ता जो अनुदान पर लागू होता है। सीएमके की कुंजी आईडी या अमेज़ॅन संसाधन नाम (एआरएन) निर्दिष्ट करें। किसी भिन्न AWS खाते में CMK निर्दिष्ट करने के लिए, आपको कुंजी ARN का उपयोग करना चाहिए।
  • grantee_principal - (आवश्यक, नए संसाधन के लिए) प्रिंसिपल को एआरएन प्रारूप में उन कार्यों को करने की अनुमति दी जाती है जो अनुदान अनुमति देता है। ध्यान दें कि IAM रियासतों के आसपास के अंतिम मुद्दों के कारण, AWS में सच क्या है, यह दर्शाने के लिए टेराफ़ॉर्म की स्थिति को हमेशा ताज़ा नहीं किया जा सकता है।
  • operations - (आवश्यक, नए संसाधन के लिए) संचालन की एक सूची जो अनुदान की अनुमति देती है। अनुमत मान हैं: Decrypt, Encrypt, GenerateDataKey, GenerateDataKeyWithoutPlaintext, ReEncryptFrom, ReEncryptTo, CreateGrant, RetireGrant, DescribeKey
  • retiree_principal - (वैकल्पिक, नए संसाधन) वह मूलधन जिसे ARN प्रारूप में RetireGrant ऑपरेशन का उपयोग करके अनुदान को रिटायर करने की अनुमति दी गई है। ध्यान दें कि IAM रियासतों के आसपास के अंतिम मुद्दों के कारण, AWS में सच क्या है, यह दर्शाने के लिए टेराफ़ॉर्म की स्थिति को हमेशा ताज़ा नहीं किया जा सकता है।
  • constraints - (वैकल्पिक, नए संसाधनों के लिए) एक संरचना जिसे आप अनुदान में कुछ संचालन की अनुमति देने के लिए उपयोग कर सकते हैं जब वांछित एन्क्रिप्शन संदर्भ मौजूद होता है। एन्क्रिप्शन संदर्भ के बारे में अधिक जानकारी के लिए, एन्क्रिप्शन संदर्भ देखें।
  • grant_creation_tokens - (वैकल्पिक, नए संसाधन) अनुदान की एक सूची जब अनुदान का उपयोग किया जाता है। अनुदान टोकन के बारे में अधिक जानकारी के लिए अनुदान टोकन देखें।
  • retire_on_delete - (झूठे, नए संसाधनों के लिए चूक) यदि झूठे (डिफ़ॉल्ट) पर सेट किया गया है, तो विलोपन पर अनुदान रद्द कर दिया जाएगा, और अगर सही पर सेट किया गया है तो विलोपन पर सेवानिवृत्त होने की कोशिश करेंगे। ध्यान दें कि रिटायरिंग ग्रांट के लिए विशेष अनुमति की आवश्यकता होती है, इसलिए हम रिवाइजिंग ग्रांट के लिए डिफॉल्ट करते हैं। अधिक जानकारी के लिए RetireGrant देखें।

अवरोधक ब्लॉक निम्नलिखित तर्कों का समर्थन करता है:

  • encryption_context_equals - (वैकल्पिक) कुंजी-मूल्य जोड़े की एक सूची जो कुछ बाद के संचालन के एन्क्रिप्शन संदर्भ में मौजूद होनी चाहिए जो अनुदान की अनुमति देता है। encryption_context_subset context_subset के साथ विरोध।
  • encryption_context_subset - (वैकल्पिक) कुंजी-मूल्य वाले जोड़े की एक सूची, जो सभी को बाद के कुछ संचालन के एन्क्रिप्शन संदर्भ में मौजूद होना चाहिए जो कि अनुदान की अनुमति देता है। encryption_context_equals context_equals के साथ विरोध।

संदर्भ संदर्भित करता है

उपरोक्त सभी तर्कों के अलावा, निम्नलिखित विशेषताएँ निर्यात की जाती हैं:

  • grant_id - अनुदान के लिए विशिष्ट पहचानकर्ता।
  • grant_token - निर्मित अनुदान के लिए अनुदान टोकन। अधिक जानकारी के लिए, अनुदान टोकन देखें।