如何使用简单的 s3 存储桶策略授予对加密存储桶的跨账户访问权限?
How do I grant cross account access to an encrypted bucket with a simple s3 bucket policy?
我有一个加密的 s3 存储桶
我想授予另一个帐户访问此存储桶的权限
通常我会这样做:
{
"Sid":"get",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::99999999999:root"
},
"Action":[
"s3:Get*",
],
"Resource":[
"arn:aws:s3:::my-bucket/*",
]
},
但是这个桶是加密的,他们得到这个错误:
upload failed: ./test to s3://my-bucket/test An error occurred (KMS.NotFoundException) when calling the PutObject operation: Key 'arn:aws:kms:us-east-1:99999999999:key/blahbalbhablhalbhalbh' does not exist
他们似乎需要 KMS 访问权限?我可以使用 kms 策略授予他们的帐户访问 kms 密钥的权限,这会解决问题吗?如果是这样,我需要创建一个自定义密钥来编辑策略吗?我想直接分配他们的账户ID访问加密桶
你走对了!您需要创建客户管理的 KMS 密钥 (CMK) 并更新 KMS 密钥策略以使用该密钥进行解密。将项目放入桶中时使用该加密密钥。确保 KMS 策略是最小特权!
我有一个加密的 s3 存储桶
我想授予另一个帐户访问此存储桶的权限
通常我会这样做:
{
"Sid":"get",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::99999999999:root"
},
"Action":[
"s3:Get*",
],
"Resource":[
"arn:aws:s3:::my-bucket/*",
]
},
但是这个桶是加密的,他们得到这个错误:
upload failed: ./test to s3://my-bucket/test An error occurred (KMS.NotFoundException) when calling the PutObject operation: Key 'arn:aws:kms:us-east-1:99999999999:key/blahbalbhablhalbhalbh' does not exist
他们似乎需要 KMS 访问权限?我可以使用 kms 策略授予他们的帐户访问 kms 密钥的权限,这会解决问题吗?如果是这样,我需要创建一个自定义密钥来编辑策略吗?我想直接分配他们的账户ID访问加密桶
你走对了!您需要创建客户管理的 KMS 密钥 (CMK) 并更新 KMS 密钥策略以使用该密钥进行解密。将项目放入桶中时使用该加密密钥。确保 KMS 策略是最小特权!