如何允许另一个账户访问KMS密钥？

【以下的问题经过翻译处理】 我试图允许在“账户B”中使用“账户A”中我的KMS密钥，但似乎我还缺少一步。如果您能看到我做错了什么，请告诉我。

背景是我正在共享一个数据库快照，并且该快照是使用账户A中的CMK进行加密的。

我所做的： 按照该文档的指示： https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html 在账户A的KMS中，我使用以下内容更新了密钥策略： {“Sid”：“允许外部帐户使用此KMS密钥”，“效果”：“允许”，“负责人”：{“AWS”：“arn：aws： iam :: <Account B >：root”}，“操作”：[“kms：加密”，“kms：解密”，“kms：重新加密*”，“kms：generateDataKey ”，“kms：DescribeKey”]，“资源”：“”} 这个密钥策略确实有更多内容，但其中没有拒绝语句。

然后在账户B中，我创建了一个新的IAM策略，其内容如下： {“版本”：“2012-10-17”，“语句”： [{“Sid”：“在账户A中允许使用密钥”，“效果”：“允许”，“操作”：[“kms：加密”，“kms：解密”，“kms：重新加密*”，“kms：generateDataKey *”，“kms：DescribeKey”]，“资源”：“arn：aws：kms：<REGION>：<ACCOUNTA>：key/<KEYID>”}] } 我将此策略附加到我目前使用的角色上，然后注销并重新登录控制台。 然后我转到与我共享的快照，并尝试复制从账户A共享的