Вы можете предоставить внешним учетным записям (другими словами, другим учетным записям AWS) разрешения на использование ключа в процессе создания ключа.В разделе Определение Разрешения на использование ключа рабочего процесса создания ключа в консоли KMS нажмите Добавить внешнюю учетную запись и введите 12-значный идентификатор учетной записи AWS внешней учетной записи AWS.Повторите этот процесс для каждой дополнительной внешней учетной записи, которую вы хотите добавить.
Если ваш ключ уже существует, вам просто нужно перейти на консоль KMS, щелкнуть псевдоним настраиваемого ключа, для которого вы хотите разрешить межсчетный доступ.,Перейдите в раздел Key Usage в нижней половине страницы.
В этом разделе найдите подраздел «Внешние учетные записи» и нажмите «Добавить внешнюю учетную запись».Введите 12-значный идентификатор учетной записи AWS той учетной записи, для которой вы хотите использовать этот ключ.Повторите этот процесс для каждой дополнительной внешней учетной записи, которую вы хотите добавить.По завершении нажмите Сохранить изменения.
Полезные сведения, которые необходимо знать при использовании CrossAccount Key:
Ключ не появится нигде в Консоли управления AWS для администраторов консоли.внешняя учетная запись
После предоставления доступа к внешним учетным записям корневые пользователи этих внешних учетных записей могут выполнять следующие действия, используя ваш ключ: Encrypt, Decrypt, ReEncrypt, GenerateDataKey и DescribeKey.У вас будет такой вид ключевой политики:
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::556677:user/User1","arn:aws:iam::1223456:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
Поэтому позаботьтесь об этом и измените его, если хотите ограничить доступ к внешней учетной записи (принцип наименьших привилегий)
- Пользователи и роли IAM во внешней учетной записи не смогут использовать ключ, если администратор учетной записи внешней учетной записи не создаст и не присоединит политику уровня ресурсов, в которой указан ключ KMS ARN и разрешенные действия.На ARN ключа можно ссылаться только в политике, связанной с пользователями IAM под внешней учетной записью.Если пользователи или роли IAM во внешней учетной записи, 012345678901, должны иметь возможность использовать пользовательский ключ, администратор IAM внешней учетной записи должен присоединить к этим пользователям или ролям следующую политику IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUseOfTheKey",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": [
"arn:aws:kms:us-east-1:1223456:key/1a345678-1234-1234-1234-12345678901c"
]
},
{
"Sid": "AllowAttachmentOfPersistentResources",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": [
"arn:aws:kms:us-east-1:1223456:key/1a345678-1234-1234-1234-12345678901c"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}