如何将KMS密钥创建委托给IAM账户?
0
【以下的问题经过翻译处理】 大家早上好,
这是我在这里的第一个问题,请大家包容一下我;o)
我想将KMS密钥的创建和使用委派给IAM用户。目的是为客户设立一个IAM账户,使他可以创建和管理自己的密钥。这可行吗?您有一些文档或链接可以帮助我吗?
到目前为止,我创建了一个IAM账户,但当我尝试使用它创建密钥时,我收到了两个错误消息: AccessDenied - 用户:arn:aws:iam::444444444444:user/MATMUT_KMS_Manager未被授权执行资源arn:aws:iam::444444444444:user/上的iam:ListUsers操作,因为没有身份验证策略允许iam:ListUsers操作 AccessDenied - 用户:arn:aws:iam::444444444444:user/MATMUT_KMS_Manager未被授权执行资源arn:aws:iam::444444444444:role/上的iam:ListRoles操作,因为没有身份验证策略允许iam:ListRoles操作
谢谢您的帮助。 最好的问候, 迈克
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 看起来你可能需要在你的IAM用户策略中再添加一些操作。要解决这些问题,它需要包括除了KMS操作之外的以下内容:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListUsers"
],
"Resource": "*"
}
}
这里还有一些允许各种KMS操作的策略示例:https://docs.aws.amazon.com/kms/latest/developerguide/customer-managed-policies.html