既存のAWS KMSキーを使用してカスタマー マネージド キーを作成するには、そのキーのキー ポリシーを変更して、IAMロールでそのキーを使用し暗号化を実行できるようにする必要があります。
- キー ポリシーを設定し、Vantageアカウントがキーを使って以下のアクセス権を設定できるようにします:
"kms:Encrypt", "kms:Decrypt" "kms:ReEncrypt*" "kms:GenerateDataKey*" "kms:DescribeKey" "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant"
- キーのエイリアスARN(Amazon Resource Names)を、Teradataおよびクラウド オペレーション担当者と共有します。これはキーARNと同じものではありません。エイリアスARNはサイトのライフ サイクルを通して同じものである必要があります。KMSキーをローテーションしたときには、エイリアスARNを新しく作成したKMSキーに再マッピングする必要があります。