1 個回答
- 最新
- 最多得票
- 最多評論
0
【以下的回答经过翻译处理】 在启用KMS加密的S3存储桶中执行操作时,相关的KMS操作将在发起S3操作的IAM主体的上下文中执行*[1]*。
例如,如果您在以IAM用户身份登录的情况下使用控制台上传对象,则会使用IAM用户主体向KMS发送kms:GenerateDataKey
请求,而不是服务角色。仍然需要使用的主体在IAM策略中获得执行kms:GenerateDataKey
的权限以及密钥策略。
默认情况下,客户管理的密钥策略将允许从帐户中的任何主体访问密钥,AWS管理的S3 KMS密钥允许使用"kms:ViaService":"s3.us-east-1.amazonaws.com"
调用S3时的任何主体访问密钥。
仅当S3自身执行操作时才需要服务角色,例如复制。在这种情况下,复制角色需要被授权这些相同的权限 [2]。
--
[1] https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-access-default-encryption/
[2] https://aws.amazon.com/premiumsupport/knowledge-center/s3-troubleshoot-replication/
相關內容
- 已提問 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 9 個月前
- AWS 官方已更新 2 年前