我有一个 s3 文件夹,其中包含加密对象。它使用 AWS KMS 托管密钥加密,而不是自定义密钥。我需要另一个 AWS 帐户才能从该存储桶复制文件。据我所知,我无法跨帐户共享此 KMS 密钥。我也无法轻易更改此存储桶以使用自定义键,因为这对客户有影响。这里有什么好的解决方法吗?
【问题讨论】:
标签: amazon-web-services aws-kms
我对我的两个帐户进行了一些实验。
我发现通过使用存储桶策略,您只能为以下用户启用对其他帐户的访问权限:
但是,如果您使用 AWS Managed CMK,则不适合存储桶策略。
相反,您可以使用cross-account roles启用访问您的存储桶和对象。我验证它有效。
在 Acc A 中(一个带有AWS-KMS 加密的存储桶,我创建了一个角色,名为kmss3bucket:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-east-1:xxxxxx:key/b811de9a-150a-4d89-8a9a-03e1b878737d"
}
]
}
Acc B 中的用户使用 STS 代入该角色:
aws sts assume-role --role-arn arn:aws:iam::xxxxx:role/kmss3bucket --role-session-name cross-account-s3
这将生成新的临时 aws 凭据。使用凭证,Acc B 将能够从使用 AWS-KMS 加密的 Acc A 中复制对象。
【讨论】: