使用默认 aws/S3 KMS 密钥解密 object 的跨账户访问
[英]cross account access for decrypt object with default aws/S3 KMS key
问题描述
在我的账户 A 中,我有 S3 存储桶,其中对象被加密默认 AWS 托管密钥 aws/s3。
我想从账户 B lambda 中读取这些对象。但是在账户 A 中,对象是使用 AWS 托管密钥 aws/s3 加密的,我无法在此处修改 KMS 密钥策略。
我试图在帐户 A 中创建一个角色,该角色具有所有 KMS 和 S3 权限,并信任帐户 B 中的角色。然后从帐户 B 我在 A 中担任此角色。但仍然得到
Access denied error in GetObject
我可以在这里做什么来读取帐户A中的对象。请指导。
帐户 A 中的角色
statement
{
Action: kms:*
Resource : "*"
Effect: allow
}
{
Action: S3:*
Resource :
arn:aws:s3:::my-s3
arn:aws:s3:::my-s3/*
Effect: allow
}
1 个解决方案
解决方案1
4 已采纳 2021-10-11 05:30:26
aws/s3是AWS 托管密钥。 正如文档所解释的那样,您不能将它们用于跨帐户访问。
由于无法更新 AWS 托管 KMS 密钥策略,因此也无法为这些密钥策略授予跨账户权限。 此外,其他 AWS 账户无法访问使用 AWS 托管 KMS 密钥加密的对象。
您必须使用客户管理的密钥 (CMK)进行跨账户访问。
AWS 托管密钥加密的 AWS 跨账户 S3 PutObject 中未找到 KMS 异常
[英]KMS Not found Exception in AWS Cross Account S3 PutObject encrypted by AWS Managed Key
如何在 S3 加密中启用 AWS 托管密钥 (aws/s3) 作为 AWS KMS 密钥
[英]How to enable AWS managed key (aws/s3) as a AWS KMS key in S3 encryption
如果 object 不使用 aws s3 加密或 aws:kms 加密,则 Json 拒绝 object 上传到 aws s3 的策略脚本
[英]Json policy script for denying object upload to aws s3 if the object doesn't uses aws s3 encryption or aws:kms encryption
AWS Datasync S3 -> S3 跨账户,对目标角色/账户感到困惑
[英]AWS Datasync S3 -> S3 cross account, confused about destination role/account
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
使用默认 kms 密钥的 s3 跨帐户访问
AWS 托管密钥加密的 AWS 跨账户 S3 PutObject 中未找到 KMS 异常
跨账户访问 Lambda S3 with access key
AWS S3 跨账户政策
如何在 S3 加密中启用 AWS 托管密钥 (aws/s3) 作为 AWS KMS 密钥
使用 CannedACL 进行跨账户 S3 访问
如果 object 不使用 aws s3 加密或 aws:kms 加密,则 Json 拒绝 object 上传到 aws s3 的策略脚本
AWS Datasync S3 -> S3 跨账户,对目标角色/账户感到困惑
Laravel S3 - arn 和 kms 密钥
S3 上传调用 Lambda 失败 - 跨账户访问
相关标签