解决方法
----------

要与其他账户共享 AWS KMS 密钥，您必须向辅助账户授予以下权限：

* **密钥策略：**辅助账户必须具有使用 AWS KMS 密钥策略的权限。此策略存在于拥有密钥的账户中。有关详细信息和密钥策略声明示例，请参阅[在本地账户中添加密钥策略声明](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-key-policy)。
* **AWS Identity and Access Management（IAM）策略：**辅助账户必须拥有相关权限，可以访问授予使用密钥访问权限的策略。

有关如何使用密钥策略和 IAM 策略授予密钥访问权限的说明，请参阅[允许其他账户中的用户使用 AWS KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)。

您还可以使用[自动监控工具](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html#monitoring-tools)来监控您的 AWS KMS 密钥。

**请注意：**最佳实践是[授予对您资源的最低权限访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)，尤其是当您与非您所有的账户共享资源时。

相关信息
-------------------

[允许用户使用特定的 AWS KMS 密钥进行加密和解密](https://docs.aws.amazon.com/kms/latest/developerguide/customer-managed-policies.html#iam-policy-example-encrypt-decrypt-specific-cmks)

[使用 AWS Key Management Service，在账户之间更安全地共享自定义加密密钥](https://blogs.aws.amazon.com/security/post/Tx2N2SRHXSNEX91/Share-Custom-Encryption-Keys-More-Securely-Between-Accounts-by-Using-AWS-Key-Man)

我想安全地授予另一个 AWS 账户访问我的 AWS Key Management Service（AWS KMS）密钥的权限。

如何在多个 AWS 账户之间共享我的 AWS KMS 密钥？

Security, Identity, & Compliance

为什么我的 S3 文件网关无法访问跨账户用户上传的对象?

如何在账户之间共享 Secrets Manager 密钥？

如何在我的 Auto Scaling 组中使用另一个账户与我共享的加密 AMI？

为什么我无法在 AWS KMS 中读取或更新 AWS KMS 密钥策略？

如何防止 IAM 策略允许用户或角色访问 AWS KMS 中的 KMS 密钥？

如何允许另一个账户访问KMS密钥？

IAM角色优先于KMS密钥策略

怎么用KMS管理秘钥并且跨账户设置service role权限？

如何在中国区启用KMS密钥的IAM策略？

如何将KMS密钥创建委托给IAM账户？

如何在多个 AWS 账户之间共享我的 AWS KMS 密钥？

解决方法

相关信息

相关视频

相关内容