在我的賬戶 A 中,我有 S3 存盤桶,其中物件是加密的默認 AWS 托管密鑰 aws/s3。
我想從帳戶 B lambda 讀取這些物件。但是在賬戶 A 中,物件是使用 AWS 托管密鑰 aws/s3 加密的,我無法在此處修改 KMS 密鑰策略。
我試圖在帳戶 A 中創建一個角色,該角色具有所有 KMS 和 S3 權限,并信任帳戶 B 中的角色。然后從帳戶 B 我在 A 中承擔這個角色。但仍然得到
Access denied error in GetObject
我可以在這里做什么來從帳戶 A 中讀取物件。請指導。
賬戶 A 中的角色
statement
{
Action: kms:*
Resource : "*"
Effect: allow
}
{
Action: S3:*
Resource :
arn:aws:s3:::my-s3
arn:aws:s3:::my-s3/*
Effect: allow
}
uj5u.com熱心網友回復:
aws/s3是AWS 托管密鑰。正如檔案所解釋的,您不能將它們用于跨賬戶訪問。
由于無法更新 AWS 托管 KMS 密鑰策略,因此也無法為這些密鑰策略授予跨賬戶權限。此外,其他 AWS 賬戶無法訪問使用 AWS 托管 KMS 密鑰加密的物件。
您必須使用客戶管理的密鑰 (CMK)進行跨賬戶訪問。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/318856.html