AWS:结合 CKM 策略和 IAM 策略的最安全方式是什么?

AWS: what is the most secure way to combine CKM policies and IAM policies?

我想做的是将一个 EC2 实例附加到一个 IAM 组,并授予该组访问 CKM 中 S3 存储桶密钥的权限。

最好的方法是什么?

当您创建一个 Customer Master Key (CMK), you define a key policy 来指示谁可以管理 and/or 时,请使用 CMK。具体来说,您可以配置密钥策略以允许账户中的 IAM 用户和 IAM 角色访问 CMK。后者是 IAM 角色,您可以使用它来将这些权限授予 EC2 实例。