我希望一些AWS策略專家能夠幫助我解讀這里發生的事情。
我一直在玩AWS中的IAM和資源策略。根據AWS自己的檔案,除非在所有政策中存在任何明確的拒絕,否則資源政策應該優先于IAM政策。見所附鏈接,顯示AWS的政策評估邏輯。如果資源策略是 "允許",那么IAM策略就不應該被評估。
這意味著 KMS 密鑰策略只適用于密鑰,而不是別名。
uj5u.com熱心網友回復:
我相信,罪魁禍首可能是你在IAM和資源策略中都缺少kms:DescribeKey。在控制對別名的訪問檔案中,它被列為必要條件。
- kms:CreateAlias for the KMS key。該權限必須在鑰匙策略中或從鑰匙策略中授權的 IAM 策略中提供。
{
"Sid": "1234abcd-12ab-34cd-56ef-1234567890ab的密鑰策略"。
"效果": "允許"。
"Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSAdminUser"},
"行動"。[
"kms:CreateAlias",
"kms:DescribeKey"
],
"資源": "*"
}
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/332535.html
標籤: