Question

• 1000 *

Template:

PcsKmsCmk1:
    Type: AWS::KMS::Key
    Properties:
      KeyPolicy:
        Version: 2012-10-17
        Id: default
        Statement:
          - Sid: Allow root account all permissions except to decrypt the key
            Effect: Allow
            Principal:
              AWS:
               - !Sub arn:aws:iam::${AWS::AccountId}:root
            Action: kms:*
            Resource: '*'
          - Sid: Enable AWSAdminRole to have full permissions to KMS key
            Effect: Allow
            Principal:
              AWS:
                - !Sub arn:aws:iam::${AWS::AccountId}:/role/AWSAdminRole
            Action: kms:*
            Resource: '*'
        Condition:
              Bool:
                 kms:GrantIsForAWSResource: 'true'

saranjeet singh · Answer 1 · 04 августа 2020

В ARN вы использовали /role, что неверно.

Для справки

Используйте - !Sub arn:aws:iam::${AWS::AccountId}:role/AWSAdminRole вместо - !Sub arn:aws:iam::${AWS::AccountId}:/role/AWSAdminRole

MalformedPolicyDocumentExceptionnull AWS КЛЮЧ KMS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

MalformedPolicyDocumentExceptionnull AWS КЛЮЧ KMS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы