如何將KMS密鑰策略添加到IAM角色-有解無憂

如何將 KMS 密鑰策略添加到 IAM 角色。

我試圖從我的 lambda 函式中的 S3 存盤桶下載檔案，但我一直收到錯誤訊息，可能是因為存盤桶已加密。我有一個如下所示的關鍵策略：

{
    "Version": "2012-10-17",
    "Id": "key-default-1",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

但是我如何將其附加到我的角色上？我點擊了編輯信任關系并嘗試將其粘貼到那里，但出現錯誤：

An error occurred: Has prohibited field Resource

uj5u.com熱心網友回復：

如果角色是客戶管理的密鑰，您可以將角色直接添加到密鑰策略中：

{
    "Version": "2012-10-17",
    "Id": "key-default-1",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": ["arn:aws:iam::123:root",
                        "arn:aws:iam::123:role/myRole"]
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

或者，您可以將新策略（或編輯已附加的現有策略）附加到呼叫 lambda 函式的角色。添加類似于以下內容的內容：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowKMS",
            "Effect": "Allow",
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

uj5u.com熱心網友回復：

創建 IAM 策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KMSKeypermission",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:kms:<enter region>:<account id>:<key id>"
            ]
        }
    ]
}

并將此策略附加到角色

如果您已經創建了 KMS，還可以將角色添加到密鑰策略您可以通過導航到 KMS --> 客戶管理的密鑰來找到 KMS 密鑰策略

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/338578.html

標籤：亚马逊网络服务亚马逊-s3

上一篇：發送到客戶端后無法設定標頭-Nodejs AWS-S3getObject

下一篇：如何使用VPC終端節點URL將檔案上傳到AmazonS3存盤桶？