【以下的问题经过翻译处理】 我试图允许在“账户B”中使用“账户A”中我的KMS密钥,但似乎我还缺少一步。如果您能看到我做错了什么,请告诉我。
背景是我正在共享一个数据库快照,并且该快照是使用账户A中的CMK进行加密的。
我所做的:
按照该文档的指示: https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html
在账户A的KMS中,我使用以下内容更新了密钥策略:
{“Sid”:“允许外部帐户使用此KMS密钥”,“效果”:“允许”,“负责人”:{“AWS”:“arn:aws: iam :: <Account B >:root”},“操作”:[“kms:加密”,“kms:解密”,“kms:重新加密*”,“kms:generateDataKey ”,“kms:DescribeKey”],“资源”:“”}
这个密钥策略确实有更多内容,但其中没有拒绝语句。
然后在账户B中,我创建了一个新的IAM策略,其内容如下:
{“版本”:“2012-10-17”,“语句”: [{“Sid”:“在账户A中允许使用密钥”,“效果”:“允许”,“操作”:[“kms:加密”,“kms:解密”,“kms:重新加密*”,“kms:generateDataKey *”,“kms:DescribeKey”],“资源”:“arn:aws:kms:<REGION>:<ACCOUNTA>:key/<KEYID>”}] }
我将此策略附加到我目前使用的角色上,然后注销并重新登录控制台。
然后我转到与我共享的快照,并尝试复制从账户A共享的