Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

怎么用KMS管理秘钥并且跨账户设置service role权限?

0

【以下的问题经过翻译处理】 你好,

我正在与客户合作开发一个工作负载,需要使用客户管理的密钥/材料进行KMS密钥加密。在客户环境中,密钥是在中央安全帐户中创建的,并与运行工作负载的帐户共享(使用与外部帐户选项共享)。在本工作负载中,我们需要使用带有KMS密钥加密的EBS卷,并且通过EC2 AutoScaling(自动扩展)来启动带EBS卷的新实例。 我们发现为了使自动扩展起作用,需要在KMS密钥中将自动扩展的service role添加为密钥用户,这在同AWS帐户内(在我的环境中)可以正常工作。但是在客户环境中,我们无法在中央安全帐户中向KMS密钥策略中添加这些service role(用于工作负载帐户)。它会出现"invalid principal"错误。 这是否是KMS CMK跨帐户访问的限制?或者如何在KMS密钥策略中为外部(工作负载)帐户启用service role权限?

谢谢!

Themen
Sicherheit, Identität & Konformität
Tags
AWS-Schlüsselverwaltungsservice
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten7 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 在EC2 自动伸缩组(EC2 AutoScaling Group)中支持使用跨账户的 KMS 密钥加密快照,但密钥策略的设置略微不同,并且在设置完密钥策略后,EC2 自动伸缩组所在的账户需要调用 create-grant CLI 命令。详细说明请参见以下链接: https://docs.aws.amazon.com/autoscaling/ec2/userguide/key-policy-requirements-EBS-encryption.html#policy-example-cmk-cross-account-access

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt