使用默认 aws/S3 KMS 密钥对解密对象进行跨账户访问

【问题标题】:cross account access for decrypt object with default aws/S3 KMS key使用默认 aws/S3 KMS 密钥对解密对象进行跨账户访问
【发布时间】:2021-11-29 21:54:09
【问题描述】:

在我的账户 A 中,我有 S3 存储桶,其中对象被加密默认 AWS 托管密钥 aws/s3。

我想从帐户 B lambda 中读取这些对象。但在账户 A 中,对象使用 AWS 托管密钥 aws/s3 加密,我无法在此处修改 KMS 密钥策略。

我尝试在帐户 A 中创建一个角色,该角色具有所有 KMS 和 S3 权限,并信任帐户 B 中的角色。然后我从帐户 B 担任 A 中的这个角色。但仍然得到

Access denied error in GetObject

我可以在这里做什么来从帐户 A 中读取对象。请指导。

帐户 A 中的角色

statement
{
   Action: kms:*
   Resource : "*"
   Effect: allow
}
{
  Action: S3:*
   Resource : 
      arn:aws:s3:::my-s3
      arn:aws:s3:::my-s3/*
   Effect: allow
}

【问题讨论】:

  • 你能展示一下这个角色吗?
  • @Marcin 添加了角色。请忽略语法错误
  • 密钥策略是否允许该新角色?

标签: amazon-web-services amazon-s3 aws-lambda amazon-iam amazon-kms


【解决方案1】:

aws/s3 是一个AWS managed key。正如docs 解释的那样,您不能将它们用于跨帐户访问。

由于无法更新 AWS 托管的 KMS 密钥策略,因此也无法为这些密钥策略授予跨账户权限。此外,使用 AWS 托管 KMS 密钥加密的对象其他 AWS 账户无法访问

您必须使用customer managed keys (CMK) 进行跨帐户访问。

【讨论】:

    猜你喜欢
    • 2020-03-21
    • 2022-07-07
    • 2021-03-14
    • 2021-03-21
    • 1970-01-01
    • 2020-05-17
    • 2017-03-23
    • 1970-01-01
    • 2019-11-18
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode