Как предоставить кросс-аккаунт доступ к зашифрованной корзине с помощью простой политики корзины s3?

Question

У меня есть зашифрованное ведро s3

Я хочу дать другому аккаунту доступ к этому ведру

Обычно я просто делаю это:

  {
     "Sid":"get",
     "Effect":"Allow",
     "Principal":{
        "AWS":"arn:aws:iam::99999999999:root"
     },
     "Action":[
        "s3:Get*",
     ],
     "Resource":[
        "arn:aws:s3:::my-bucket/*",
     ]
  },

Но это ведро в зашифрованном виде, и они получают эту ошибку:

upload failed: ./test to s3://my-bucket/test An error occurred (KMS.NotFoundException) when calling the PutObject operation: Key 'arn:aws:kms:us-east-1:99999999999:key/blahbalbhablhalbhalbh' does not exist

Похоже, им нужен доступ к KMS? Я могу дать их учетной записи доступ к ключу KMS с политикой KMS, и это будет исправить? Если это так, мне нужно создать пользовательский ключ для редактирования политики правильно? Я хочу назначить своему идентификатору учетной записи доступ к зашифрованному ведру напрямую

Answer 1

Ты на правильном пути! Вам необходимо создать управляемый клиентом ключ KMS (CMK) и обновить политику ключей KMS, чтобы использовать ключ для расшифровки. Используйте этот ключ шифрования, когда кладете предметы в корзину. Убедитесь, что политика KMS является наименьшей привилегией!