1 Respuesta
- Más nuevo
- Más votos
- Más comentarios
0
【以下的回答经过翻译处理】 我认为上述密钥策略中的主要问题是您指定的密钥上下文。 AWS Secrets Manager用于指定特定机密的密钥上下文为kms:EncryptionContext:SecretARN,如此处所述-> https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-encryption-context。更新密钥策略时要非常谨慎,以确保它们不会变得难以管理-> https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html。除了您自定义的密钥用户策略外,确保具有密钥管理声明。 Amazon MSK的策略声明应该看起来像这样:
{
"Sid": "AllowUseOfTheKeyForSecretsManager",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<YourAccount>:role/<MSKRoleName>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:<YourRegion>:<YourAccount>:secret:AmazonMSK_*"
}
}
}
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 3 años
- ¿Cómo puedo enumerar las concesiones de claves y entidades principales de KMS por región en AWS KMS?OFICIAL DE AWSActualizada hace 3 años