[英]cross account access for decrypt object with default aws/S3 KMS key
在我的賬戶 A 中,我有 S3 存儲桶,其中對象被加密默認 AWS 托管密鑰 aws/s3。
我想從賬戶 B lambda 中讀取這些對象。但是在賬戶 A 中,對象是使用 AWS 托管密鑰 aws/s3 加密的,我無法在此處修改 KMS 密鑰策略。
我試圖在帳戶 A 中創建一個角色,該角色具有所有 KMS 和 S3 權限,並信任帳戶 B 中的角色。然后從帳戶 B 我在 A 中擔任此角色。但仍然得到
Access denied error in GetObject
我可以在這里做什么來讀取帳戶A中的對象。請指導。
帳戶 A 中的角色
statement
{
Action: kms:*
Resource : "*"
Effect: allow
}
{
Action: S3:*
Resource :
arn:aws:s3:::my-s3
arn:aws:s3:::my-s3/*
Effect: allow
}
aws/s3
是AWS 托管密鑰。 正如文檔所解釋的那樣,您不能將它們用於跨帳戶訪問。
由於無法更新 AWS 托管 KMS 密鑰策略,因此也無法為這些密鑰策略授予跨賬戶權限。 此外,其他 AWS 賬戶無法訪問使用 AWS 托管 KMS 密鑰加密的對象。
您必須使用客戶管理的密鑰 (CMK)進行跨賬戶訪問。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.