当前位置: 首页 > 知识库问答 >
问题:

将默认KMS密钥的使用授予具有CloudFormation的IAM角色

阮梓
2023-03-14

我们有许多SecureString SSM参数存储值是通过bash脚本自动创建的。使用通过CloudFormation创建的特定于环境的KMS密钥+别名对其进行加密。

模板中还有EC2实例的IAM角色,它们需要允许检索和解密SSM参数。为了允许这一点,我们通过引用IAM角色ARN作为原则,在创建KMS密钥时授予对这些IAM角色的访问权。

但是,我们的AWS帐户中有一些非特定于环境的SSM变量,这些变量在环境CloudFormation堆栈之外持久存在,并且被所有环境使用。

共有1个答案

南宫泓
2023-03-14

默认KMS密钥别名/AWS/ssm是AWS托管CMK。我们无法为AWS管理的CMK建立IAM策略或KMS密钥策略。

摘自AWS KMS常见问题,

AWS将代表您管理与AWS托管CMK相关联的策略。您可以跟踪帐户中的AWS托管密钥,所有使用情况都记录在AWS CloudTrail中,但您对密钥本身没有直接控制。

 类似资料:
  • 在使用Cloudformation创建新的KMS密钥时,我在“Status Reason”列中看到以下消息: 没有IAM权限处理AWS::KMS::Key资源上的标记

  • Using a delegation key The collaborator can now push to the repository using Docker Content Trust. Docker will automatically choose and pick the right key for the targets/release role. Edit the file o

  • 使用IAM策略模拟器时,似乎必须提供对完整密钥arn的访问(),而不是别名() 有没有更好的办法来管理这个? 我知道我可以使用密钥策略管理对CMKs的访问,并且不允许从IAM进行访问,但是您不能在KMS密钥策略中使用组作为

  • 我是这方面的新手,读了很多之后,我觉得我不太明白如何在Keycloak中实现授权代码流。我的疑惑: > < li> 在创建了支持此流程的客户端后,如何执行凭据验证?默认情况下,如果我不做任何配置,我会得到一个登录表单。如果我在浏览器中打开这个html,并填写用户和密码字段,当我按下按钮时,它会将我发送到一个类型为.../realm/{ REAL _ NAME }/log in-actions/au

  • 我使用mysql aes加密和解密如下: 我读到AES支持128 192和256。我假设默认值是128是正确的吗?因此,鉴于上述查询没有定义密钥长度,它会以默认密钥长度加密和解密吗? 如果是这样,在上面的查询中指定密钥长度会更好吗?因为例如:假设我使用默认值128加密和存储数据,但后来设置更改,256变为默认值,那么这意味着它将无法解密数据,对吗?有没有办法在上面的查询中定义密钥长度? 另外,我用

  • 我们目前正在使用API密钥来保护对API网关的访问。然而,我们正在转向具有访问/密钥的IAM模型。我知道swagger不允许我们这样做(我们目前在swagger中设置了api_key以启用api密钥身份验证)。 我已经创建了各种操作所需的策略,如下所示: 我的lambda函数如下所示。我仍然是云形成的新手,并且希望得到一些关于我可以做些什么来添加lambda授权器的帮助(我相信它会在事件中-