Я попробовал следующий ресурс в моем шаблоне:
SigningKey:
Type: AWS::KMS::Key
Properties:
Description: "Auth API signing key"
Enabled: true
# Grant all permissions for root account
KeyPolicy:
Version: "2012-10-17"
Id: "key-default-1"
Statement:
-
Sid: "Enable IAM User Permissions"
Effect: "Allow"
Principal:
- AWS: !Sub "arn:aws:iam::${AWS::AccountId}:root"
Action: "kms:*"
Resource: "*"
EnableKeyRotation: true
KeyUsage: SIGN_VERIFY
Но это выдает ошибку:
Операция не выполнена, поскольку значение CMU KeyUsage - SIGN_VERIFY , Для выполнения этой операции значение KeyUsage должно быть ENCRYPT_DECRYPT.
Также неясно, где указать тип ключа (например, RSA_2048) в шаблоне из docs .