使用默認 aws/S3 KMS 密鑰解密 object 的跨賬戶訪問
[英]cross account access for decrypt object with default aws/S3 KMS key
問題描述
在我的賬戶 A 中,我有 S3 存儲桶,其中對象被加密默認 AWS 托管密鑰 aws/s3。
我想從賬戶 B lambda 中讀取這些對象。但是在賬戶 A 中,對象是使用 AWS 托管密鑰 aws/s3 加密的,我無法在此處修改 KMS 密鑰策略。
我試圖在帳戶 A 中創建一個角色,該角色具有所有 KMS 和 S3 權限,並信任帳戶 B 中的角色。然后從帳戶 B 我在 A 中擔任此角色。但仍然得到
Access denied error in GetObject
我可以在這里做什么來讀取帳戶A中的對象。請指導。
帳戶 A 中的角色
statement
{
Action: kms:*
Resource : "*"
Effect: allow
}
{
Action: S3:*
Resource :
arn:aws:s3:::my-s3
arn:aws:s3:::my-s3/*
Effect: allow
}
1 個解決方案
解決方案1
4 已采納 2021-10-11 05:30:26
aws/s3是AWS 托管密鑰。 正如文檔所解釋的那樣,您不能將它們用於跨帳戶訪問。
由於無法更新 AWS 托管 KMS 密鑰策略,因此也無法為這些密鑰策略授予跨賬戶權限。 此外,其他 AWS 賬戶無法訪問使用 AWS 托管 KMS 密鑰加密的對象。
您必須使用客戶管理的密鑰 (CMK)進行跨賬戶訪問。
AWS 托管密鑰加密的 AWS 跨賬戶 S3 PutObject 中未找到 KMS 異常
[英]KMS Not found Exception in AWS Cross Account S3 PutObject encrypted by AWS Managed Key
如何在 S3 加密中啟用 AWS 托管密鑰 (aws/s3) 作為 AWS KMS 密鑰
[英]How to enable AWS managed key (aws/s3) as a AWS KMS key in S3 encryption
如果 object 不使用 aws s3 加密或 aws:kms 加密,則 Json 拒絕 object 上傳到 aws s3 的策略腳本
[英]Json policy script for denying object upload to aws s3 if the object doesn't uses aws s3 encryption or aws:kms encryption
AWS Datasync S3 -> S3 跨賬戶,對目標角色/賬戶感到困惑
[英]AWS Datasync S3 -> S3 cross account, confused about destination role/account
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
使用默認 kms 密鑰的 s3 跨帳戶訪問
AWS 托管密鑰加密的 AWS 跨賬戶 S3 PutObject 中未找到 KMS 異常
跨賬戶訪問 Lambda S3 with access key
AWS S3 跨賬戶政策
如何在 S3 加密中啟用 AWS 托管密鑰 (aws/s3) 作為 AWS KMS 密鑰
使用 CannedACL 進行跨賬戶 S3 訪問
如果 object 不使用 aws s3 加密或 aws:kms 加密,則 Json 拒絕 object 上傳到 aws s3 的策略腳本
AWS Datasync S3 -> S3 跨賬戶,對目標角色/賬戶感到困惑
Laravel S3 - arn 和 kms 密鑰
S3 上傳調用 Lambda 失敗 - 跨賬戶訪問
相關標簽