The ciphertext refers to a customer master key that does not exist, does not exist in this region, or you are not allowed to access (Query Id: b2c74c7e-21ed-4375-8712-cd1579eab9a7)

0

【以下的问题经过翻译处理】 我尝试设置跨账户的 Athena 访问权限。我能在目标账户下的 Lake formation、Glue 和 Athena 中看到数据库。一开始,我在目标 Athena 控制台中没有看到任何表格。在我在 Lake formation 控制台(目标账户)做了一些操作后,我才能在目标 Athena 控制台中看到一个表并成功查询它。但是,我即使尝试了许多方法,仍无法看到同一数据库中的其他表格。我总是得到以下错误,即使在所有地方(KMS 和 IAM 角色)都给予了 KMS 访问权限,或者在 Glue 中关闭了 KMS 加密,我仍然得到了以下错误。我不知道实际原因是什么。 以下是一个错误消息的示例: The ciphertext refers to a customer master key that does not exist, does not exist in this region, or you are not allowed to access. (Service: AWSKMS; Status Code: 400; Error Code: AccessDeniedException; Request ID: cb9a754f-fc1c-414d-b526-c43fa96d3c13; Proxy: null) (Service: AWSGlue; Status Code: 400; Error Code: GlueEncryptionException; Request ID: 0c785fdf-e3f7-45b2-9857-e6deddecd6f9; Proxy: null) This query ran against the "xxx_lakehouse" database, unless qualified by the query. Please post the error message on our forum or contact customer support with Query Id: b2c74c7e-21ed-4375-8712-cd1579eab9a7. 我已经按照 https://repost.aws/knowledge-center/cross-account-access-denied-error-s3 中指出的权限添加了权限。有人知道如何修复错误并在 Athena 中查看跨账户的表格吗?非常感谢。

profile picture
专家
已提问 4 个月前53 查看次数
1 回答
0

【以下的回答经过翻译处理】 你好, 你在目标账户的Lakeformation控制台中是否创建了相关的资源链接?如果还没有,请遵循给定的文档设置共享表格在你的目标账户中。 如果源S3存储桶和Glue中的源表格都使用不同的KMS密钥加密,那么必须给予两个密钥的权限。如果它们属于不同的账户,则必须提供基于资源和基于身份的权限。

根据我的经验,你所看到的错误是由于KMS密钥的密钥策略没有正确定义,因此它不允许跨账户访问该密钥。因此,请确认一次。

如果你能联系安全团队的高级支持工程师会更好,因为他们将能够查看你的策略,并找出错误的确切根本原因。

profile picture
专家
已回答 4 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则

相关内容