解决方法
----------

要与其他账户共享 AWS KMS 密钥，您必须向辅助账户授予以下权限：

* **密钥策略：**辅助账户必须具有使用 AWS KMS 密钥策略的权限。此策略存在于拥有密钥的账户中。有关详细信息和密钥策略声明示例，请参阅[在本地账户中添加密钥策略声明](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-key-policy)。
* **AWS Identity and Access Management（IAM）策略：**辅助账户必须拥有相关权限，可以访问授予使用密钥访问权限的策略。

有关如何使用密钥策略和 IAM 策略授予密钥访问权限的说明，请参阅[允许其他账户中的用户使用 AWS KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)。

您还可以使用[自动监控工具](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html#monitoring-tools)来监控您的 AWS KMS 密钥。

**请注意：**最佳实践是[授予对您资源的最低权限访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)，尤其是当您与非您所有的账户共享资源时。

相关信息
-------------------

[允许用户使用特定的 AWS KMS 密钥进行加密和解密](https://docs.aws.amazon.com/kms/latest/developerguide/customer-managed-policies.html#iam-policy-example-encrypt-decrypt-specific-cmks)

[使用 AWS Key Management Service，在账户之间更安全地共享自定义加密密钥](https://blogs.aws.amazon.com/security/post/Tx2N2SRHXSNEX91/Share-Custom-Encryption-Keys-More-Securely-Between-Accounts-by-Using-AWS-Key-Man)

我想安全地授予另一个 AWS 账户访问我的 AWS Key Management Service（AWS KMS）密钥的权限。

如何在多个 AWS 账户之间共享我的 AWS KMS 密钥？

安全、身份和合规性

如何允许 AWS Organization 中的所有账户在我的账户中使用 AWS KMS 密钥？

如何防止 IAM 策略允许用户或角色访问 AWS KMS 中的 KMS 密钥？

为什么我无法在 AWS KMS 中读取或更新 KMS 密钥策略？

当我从 Amazon S3 下载 KMS 加密的对象时，我是否需要指定 AWS KMS 密钥？

aws ecs execute-command 失败并报与 KMS 和 Cloudwatch 相关的错误

KMS GUI中没有显示默认的EBS密钥

DynamoDB-KMS-从AWS托管CMK返回default状态对运行服务的影响是什么？

aws-encryption-cli与aws kms encrypt/decrypt (aws-cli/2.9.5)的比较

S3 SSE-KMS 使用哪种加密算法？

如何在多个 AWS 账户之间共享我的 AWS KMS 密钥？

解决方法

相关信息

相关视频

相关内容