怎么用KMS管理秘钥并且跨账户设置service role权限?

0

【以下的问题经过翻译处理】 你好,

我正在与客户合作开发一个工作负载,需要使用客户管理的密钥/材料进行KMS密钥加密。在客户环境中,密钥是在中央安全帐户中创建的,并与运行工作负载的帐户共享(使用与外部帐户选项共享)。在本工作负载中,我们需要使用带有KMS密钥加密的EBS卷,并且通过EC2 AutoScaling(自动扩展)来启动带EBS卷的新实例。 我们发现为了使自动扩展起作用,需要在KMS密钥中将自动扩展的service role添加为密钥用户,这在同AWS帐户内(在我的环境中)可以正常工作。但是在客户环境中,我们无法在中央安全帐户中向KMS密钥策略中添加这些service role(用于工作负载帐户)。它会出现"invalid principal"错误。 这是否是KMS CMK跨帐户访问的限制?或者如何在KMS密钥策略中为外部(工作负载)帐户启用service role权限?

谢谢!

profile picture
专家
已提问 10 个月前13 查看次数
1 回答
0

【以下的回答经过翻译处理】 在EC2 自动伸缩组(EC2 AutoScaling Group)中支持使用跨账户的 KMS 密钥加密快照,但密钥策略的设置略微不同,并且在设置完密钥策略后,EC2 自动伸缩组所在的账户需要调用 create-grant CLI 命令。详细说明请参见以下链接: https://docs.aws.amazon.com/autoscaling/ec2/userguide/key-policy-requirements-EBS-encryption.html#policy-example-cmk-cross-account-access

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则