[英]cross account access for decrypt object with default aws/S3 KMS key
在我的账户 A 中,我有 S3 存储桶,其中对象被加密默认 AWS 托管密钥 aws/s3。
我想从账户 B lambda 中读取这些对象。但是在账户 A 中,对象是使用 AWS 托管密钥 aws/s3 加密的,我无法在此处修改 KMS 密钥策略。
我试图在帐户 A 中创建一个角色,该角色具有所有 KMS 和 S3 权限,并信任帐户 B 中的角色。然后从帐户 B 我在 A 中担任此角色。但仍然得到
Access denied error in GetObject
我可以在这里做什么来读取帐户A中的对象。请指导。
帐户 A 中的角色
statement
{
Action: kms:*
Resource : "*"
Effect: allow
}
{
Action: S3:*
Resource :
arn:aws:s3:::my-s3
arn:aws:s3:::my-s3/*
Effect: allow
}
aws/s3
是AWS 托管密钥。 正如文档所解释的那样,您不能将它们用于跨帐户访问。
由于无法更新 AWS 托管 KMS 密钥策略,因此也无法为这些密钥策略授予跨账户权限。 此外,其他 AWS 账户无法访问使用 AWS 托管 KMS 密钥加密的对象。
您必须使用客户管理的密钥 (CMK)进行跨账户访问。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.