2017-08-16 50 views
1

我試圖將AMI從一個AWS賬戶複製到另一個賬戶,並使用目標賬戶中的CMK對其進行加密。複製和加密AMI所需的AWS權限

在CMK的主要政策是:

{ 
    "Version": "2012-10-17", 
    "Id": "key-default", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Principal": { 
     "AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root" 
     }, 
     "Action": "kms:*", 
     "Resource": "*" 
    } 
    ] 
} 

我已經創建了具有以下政策目標帳戶的角色:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": [ 
       "kms:ListAliases", 
       "kms:GenerateDataKey", 
       "kms:DescribeKey", 
       "kms:Encrypt", 
       "ec2:CopyImage" 
      ], 
      "Resource": "*" 
     } 
    ] 
} 

此外,隸屬該角色是AmazonEC2ReadOnlyAccess政策。

如果我登錄到根帳戶並在目標帳戶中承擔角色,然後嘗試使用我的CMK複製AMI,則它將失敗,並顯示Snapshot snap-abc123xyz is in an unexpected state: error。沒有關於快照的附加信息來指示根本原因。

如果我將AdministratorAccess策略附加到AMI複製OK的角色,那麼它必須是權限問題。

有人可以提供複製AMI加密所需的權限列表嗎?

回答

1

從這個博客:https://aws.amazon.com/blogs/aws/new-cross-account-copying-of-encrypted-ebs-snapshots/

「目標帳戶 - 在目標賬戶的IAM用戶或角色需要能夠執行DescribeKey,CreateGrant,以及與原始快照相關聯的密鑰解密操作的用戶。或角色還必須能夠對與CopySnapshot調用相關聯的密鑰執行CreateGrant,Encrypt,Decrypt,DescribeKey和GenerateDataKeyWithoutPlaintext操作。「

另外,我相信這是你在找什麼:https://aws.amazon.com/blogs/security/how-to-create-a-custom-ami-with-encrypted-amazon-ebs-snapshots-and-share-it-with-other-accounts-and-regions/