共享用于加密共享的 Amazon EBS 快照的 KMS 密钥
共享加密快照时,还必须共享用于加密快照的客户托管密钥。您可以在创建客户托管密钥时或以后的某个时间向客户托管密钥应用跨账户权限。
必须为正在访问加密快照的共享客户托管密钥用户授予对密钥执行以下操作的权限:
-
kms:DescribeKey -
kms:CreateGrant -
kms:GenerateDataKey -
kms:GenerateDataKeyWithoutPlaintext -
kms:ReEncrypt -
kms:Decrypt
提示
为遵循最小特权原则,请不要允许对 kms:CreateGrant 拥有完全访问权限。而是仅当 Amazon 服务代表用户创建授权时,才使用 kms:GrantIsForAWSResource 条件键以允许用户在 KMS 密钥上创建授权。
有关如何控制对客户托管密钥的访问权限的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用 Amazon KMS 中的密钥策略。
要使用 Amazon KMS 控制台共享客户托管密钥
-
从 https://console.aws.amazon.com/kms
打开 Amazon KMS 控制台。 -
要更改 Amazon Web Services 区域,请使用页面右上角的 Region selector(区域选择器)。
-
在导航窗格中,选择客户托管密钥。
-
在别名列中,选择用于加密快照的客户托管密钥的别名(文本链接)。密钥详细信息将在新页面中打开。
-
在密钥政策部分中,您会看到政策视图或默认视图。策略视图显示密钥策略文档。默认视图显示密钥管理员、密钥删除、密钥使用和其他 Amazon 账户几个部分。如果您在控制台中创建了策略,但尚未对其进行自定义,则会显示默认视图。如果默认视图不可用,则需要在策略视图中手动编辑策略。有关更多信息,请参阅 Amazon Key Management Service 开发人员指南中的查看密钥策略(控制台)。
使用策略视图或默认视图(具体取决于您可以访问哪个视图)向策略添加一个或多个 Amazon 账户 ID,如下所示:
(策略视图)选择编辑。将一个或多个 Amazon 账户 ID 添加到以下语句:
"Allow use of the key"和"Allow attachment of persistent resources"。选择保存更改。在以下示例中,会将 Amazon 账户 ID444455556666添加到策略中。{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(默认视图)向下滚动到其他 Amazon 账户。选择添加其他 Amazon 账户,并按提示输入 Amazon 账户 ID。要添加其他账户,选择 Add another Amazon account(添加其他亚马逊云科技账户)并输入 Amazon 账户 ID。添加完所有 Amazon 账户后,选择 Save changes(保存更改)。