[英]Can I decrypt a KMS key from a different account, from a different aws region?
这是我的场景:
A和B 。K保护账户A和区域us-east-1中的 SQS 队列。B和区域us-west-2中有一个 SNS 主题。A的 SQS 队列订阅了来自账户B的主题。encryptionMasterKey.addToResourcePolicy(new iam.PolicyStatement({
effect: iam.Effect.ALLOW,
actions: ["kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion",
"kms:GenerateDataKey",
"kms:TagResource",
"kms:UntagResource"],
resources: ["*"],
principals: [new iam.AccountPrincipal("<account B id>")]
}));
现在,这是我的观察:
K在队列上启用 SSE 加密,则 SNS 主题将失败并KMS.AccessDeniedException 。出于业务原因,我需要能够加密我的队列。 如何允许我的 SNS 主题访问 KMS 密钥?
我遇到了类似的问题,在这里查看问题和答案: SNS not able to send messages to SQS queue in another account
TL;DR:除了@user3099576 的回答之外,您还需要使用在两个区域之一中创建的多区域 KMS 密钥,以及在另一个区域中的副本。 KMS 密钥目前不跨区域。
AWS - 是否可以在与主帐户不同的帐户中创建 KMS 副本密钥
[英]AWS - Can a KMS replica key be created in a different account from the primary
AWS - 您可以将您的 KMS 密钥从一个账户转移到另一个账户吗?
[英]AWS - Can you transfer your KMS key from one account to another account?
假设已设置权限,我能否从我的 AWS 账户为不同的 AWS 账户创建 Athena 表?
[英]Can I create an Athena table from my AWS account for a different AWS account, assuming permissions are set?
对 KMS 密钥解密的 AWS 未经授权的操作 AWSServiceRoleForConfig
[英]AWS Unauthorised Operation AWSServiceRoleForConfig on KMS Key Decrypt
使用默认 aws/S3 KMS 密钥解密 object 的跨账户访问
[英]cross account access for decrypt object with default aws/S3 KMS key
我可以使用 VPC Endpoint 从我的账户 ec2 连接到不同的账户 AWS 服务(s3、dynamoDb)吗?
[英]Can i connect to different account AWS services(s3, dynamoDb) from my account ec2 using VPC Endpoint?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.