Параметры AWS SSM GET с использованием дешифрования KMS

Question

Сценарий: Один из наших сценариев использует apto boto3 kms для параметров PUT и GET SSM с шифрованием и дешифрованием KMS. SSM param put работает отлично и параметры добавляются (с расшифровкой как true) с защищенной строкой в ​​хранилище параметров ECM SSM. Проблема, с которой мы сталкиваемся, заключается в попытке получить значения параметров SSM с расшифровкой как true. Соответствующий лямбда-код, запускающий этот скрипт, выдает следующую ошибку при попытке запустить следующий скрипт boto3 (при запуске get_ssm_parameters_by_path):

       session = boto3.Session()
       ssm_client = session.client('ssm', 'us-east-1')
       ssm_parameters = []
       response = ssm_client.get_parameters_by_path(
         Path=self.ssm_parameter_path,
         Recursive=True,
         WithDecryption=True
       )

ОШИБКА: произошла ошибка (AccessDeniedException) при вызове операции GetParametersByPath: зашифрованный текст ссылается на главный ключ клиента, который не существует, не существует в этом регионе, или вам не разрешен доступ. (Сервис: AWSKMS; Код состояния: 400; Код ошибки: AccessDeniedException; Идентификатор запроса: eaaxx-7ae7-11e8-97xx5e-b9exxxxxxx410): ClientError

Я просмотрел различные документы AWS по работе с шифрованием и дешифрованием KMS и обновил свой программный документ, как показано ниже, но пока не повезло. Роль, которую использует лямбда, имеет следующую политику доступа:

{
"Sid": "AllowSSMAccess",
"Effect": "Allow",
"Action": ["kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"],
"Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>",
"Condition": {
    "StringEquals": {
        "kms:ViaService": "ssm.us-east-1.amazonaws.com",
        "kms:CallerAccount": "AWS_ACCOUNT_NUMBER"
    }
  }
}, 
{
"Sid": "AllowKeyMetadata",
"Effect": "Allow",
"Action": ["kms:Describe*", "kms:Get*", "kms:List*"],
"Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>"
},  
{
  "Sid": "KeyAccess",
  "Effect": "Allow",
  "Action": [
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Get*",
"kms:TagResource"
  ],
  "Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>"
}

Где AWS_ACCOUNT_NUMBER - это номер моей учетной записи AWS, а идентификатор ключа KMS - это ключ по умолчанию «aws / ssm» для шифрования и дешифрования параметра SSM. Ключ существует в учетной записи. Мы предоставляем регион us-east-1, так что все в порядке на 0. В последней части ошибки написано «или у вас нет доступа».

Я вижу, что параметр доступен в хранилище параметров ECM SSM и правильно расшифрован с помощью KEY ID, который я использую для расшифровки.

Какие другие политики доступа или дополнения нам нужно выполнить, чтобы успешно запустить "get_parameters_by_path".

Answer 1

Для доступа к ключу хранилища параметров необходимо определить приведенную ниже политику.

{
   "Sid": "getParameter",
    "Effect": "Allow",
    "Action": [
        "ssm:GetParameters"
    ],
    "Resource": "arn:aws:ssm:<region>:<AWS_ACCOUNT_NUMBER>:parameter/<Parameter_Store_Key_Name>"
},
{
    "Sid": "decryptKey",
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:<region>:<AWS_ACCOUNT_NUMBER>:key/<aws/ssm_Key_Id>"
}

ssm: GetParameters позволит нам получить доступ к Parameter_Store_Key_Name. См. https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html.

Answer 2

Итак, по крайней мере для нас решение было в IAM. Внизу списка есть раздел «Ключи шифрования». Вам необходимо добавить соответствующего пользователя или роль в соответствующий ключ. Эта ошибка вызывает боль, поскольку она напрямую относится только к SSM, поэтому она вводит в заблуждение относительно того, где находится решение.

Дополнительная информация: https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users