我試圖將AMI從一個AWS賬戶複製到另一個賬戶,並使用目標賬戶中的CMK對其進行加密。複製和加密AMI所需的AWS權限
在CMK的主要政策是:
{
"Version": "2012-10-17",
"Id": "key-default",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
我已經創建了具有以下政策目標帳戶的角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:Encrypt",
"ec2:CopyImage"
],
"Resource": "*"
}
]
}
此外,隸屬該角色是AmazonEC2ReadOnlyAccess
政策。
如果我登錄到根帳戶並在目標帳戶中承擔角色,然後嘗試使用我的CMK複製AMI,則它將失敗,並顯示Snapshot snap-abc123xyz is in an unexpected state: error
。沒有關於快照的附加信息來指示根本原因。
如果我將AdministratorAccess
策略附加到AMI複製OK的角色,那麼它必須是權限問題。
有人可以提供複製AMI加密所需的權限列表嗎?