1 réponse
- Le plus récent
- Le plus de votes
- La plupart des commentaires
0
【以下的回答经过翻译处理】 我认为上述密钥策略中的主要问题是您指定的密钥上下文。 AWS Secrets Manager用于指定特定机密的密钥上下文为kms:EncryptionContext:SecretARN,如此处所述-> https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-encryption-context。更新密钥策略时要非常谨慎,以确保它们不会变得难以管理-> https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html。除了您自定义的密钥用户策略外,确保具有密钥管理声明。 Amazon MSK的策略声明应该看起来像这样:
{
"Sid": "AllowUseOfTheKeyForSecretsManager",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<YourAccount>:role/<MSKRoleName>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:<YourRegion>:<YourAccount>:secret:AmazonMSK_*"
}
}
}
Contenus pertinents
- demandé il y a 22 jours
- demandé il y a un an
- demandé il y a 12 jours
- demandé il y a un an
- Comment puis-je répertorier les autorisations et les principaux de clé KMS par région dans AWS KMS ?AWS OFFICIELA mis à jour il y a 3 ans
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an