【发布时间】:2020-01-10 23:49:11
【问题描述】:
我有一个加密的 s3 存储桶
我想授予另一个帐户访问此存储桶的权限
通常我会这样做:
{
"Sid":"get",
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::99999999999:root"
},
"Action":[
"s3:Get*",
],
"Resource":[
"arn:aws:s3:::my-bucket/*",
]
},
但是这个桶是加密的,他们得到这个错误:
upload failed: ./test to s3://my-bucket/test An error occurred (KMS.NotFoundException) when calling the PutObject operation: Key 'arn:aws:kms:us-east-1:99999999999:key/blahbalbhablhalbhalbh' does not exist
看起来他们需要 KMS 访问权限?我可以通过 kms 策略让他们的帐户访问 kms 密钥,这样可以解决问题吗?如果是这样,我需要创建一个自定义密钥来编辑策略吗?我想直接将他们的帐户 ID 访问权限分配给加密存储桶
【问题讨论】:
-
账户 A 试图将文件上传到位于账户 B 中的 S3?
-
他们是否使用 awscli 上传?他们是否提供
--sse aws:kms?
标签: amazon-web-services amazon-s3 aws-kms