1回答
了解kms策略?
、、
我有一个名为group-dev的IAM组和几个连接到此组的用户,我有自定义的IAM策略(如下所示)。仅此IAM策略是否足以让该组中的用户加密并列出kms密钥?基本上,我的目标是创建IAM组,将策略附加到几个用户,当添加新用户时,我不想做重复的工作,比如将他们添加到组中,然后将他们添加到kms密钥策略中。那么,它是否适用于以下策略?IAM组内联策略 "Action": [
"kms</
浏览 24提问于2020-07-31得票数 3
回答已采纳
每当我试图通过AWS CloudFormation模板创建一个KMS键时,我就会得到这个错误。我是以具有管理权限的IAM用户的身份创建模板的,我希望在同一个具有KMS权限的AWS帐户中的任何IAM用户都可以管理该密钥。我使用以下YAML资源定义作为密钥: Type: AWS::KMS::Key Enabled: true Version: 2012-10-17
浏览 16提问于2017-02-01得票数 12
回答已采纳
政策1: statement { actions= [ ] "kms:Delete*",
"kms:ScheduleKeyDeletion",&
浏览 9提问于2022-05-03得票数 3
回答已采纳
我正在尝试使用Python3.x中的kms_client在KMS中创建一个密钥。import boto3
{ "Effect123456:user/sample-user",
"arn:aws:iam:
浏览 18提问于2019-05-31得票数 1
回答已采纳
我的KMS键上有一个资源策略,允许访问根帐户和Jenkins (角色A)中使用的一些额外的IAM角色。我如何保护我的KMS密钥,使KMS密钥资源策略成为允许哪些用户/角
浏览 6提问于2022-09-08得票数 1
回答已采纳
我有一个lambda,它需要使用KMS解密一个值。我在利用萨姆来部署我的兰达。最初,我尝试添加一个策略声明。- 'arn:aws:kms:us-west-2:<account>:key/<key>'
但这不起作用,因为(据我所知)我需要告诉KMS,允许这个资源执行此操作。我试图通过创建一个IAM角色来修复这个问题,这个角色可以附加到lambda资源,它是AWSLambdaBasicExecutionRole,它有一个用于我的密钥的策略。aws sam
浏览 5提问于2020-01-20得票数 1
2回答
我一直在使用AWS中的IAM和资源策略。根据AWS自己的文档,除非在所有策略中都有任何明确的否认,否则资源策略应该优先于IAM策略。请参阅所附的链接,显示AWS的策略评估逻辑。如果资源策略是“允许”,则不应该对IAM策略进行评估。
}}
它的唯一目的是允许用户删除KMS CMK别名。而且,我创建了一个KMS<
浏览 1提问于2021-09-21得票数 3
回答已采纳
如何将KMS密钥策略添加到IAM角色。 我试图从我的lambda函数中的S3存储桶中下载一个文件,但我总是得到一个错误,可能是因为存储桶有加密。我有一个关键策略,看起来像这样: { "Id": "key-default-1", "AWS":
浏览 32提问于2021-10-26得票数 0
每天我都会看到一些未经授权的KMS解密操作的CloudTrail日志,我不知道是什么原因造成的。***:assumed-role/AWSServiceRoleForConfig/LambdaDescribeHandlerSession is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:eu-west-1:************:key/********-****-****-****-************ because<e
浏览 20提问于2021-11-28得票数 0
我继续得到这个错误: { "Action": [
"kms
浏览 0提问于2019-03-30得票数 0
我正在尝试使用默认的密钥策略部署一个KMS CMK。根据文档,如果在创建密钥时不指定策略,AWS将使用默认密钥策略。但是,在使用CloudFormation时,需要属性KeyPolicy。我正在尝试创建一个AWS::KMS::Key资源,但是,根据,应该能够使用默认密钥策略作为KeyPolicy属性,如文档所述:
如果您不确定要使用哪个策略,请考虑默认的密钥策略。这是AWS应用于通过使用没有指定密钥策略的CreateKey API创
浏览 13提问于2022-01-25得票数 1
回答已采纳
2回答
有人知道如何让Terraform更新现有的KMS密钥策略吗?
我已经创建了KMS密钥,但我有一个需要使用现有KMS密钥的临时IAM角色。我希望能够将此“新”IAM角色添加到现有的KMS密钥策略中。我应该指出的是,当前的KMS密钥用于加密S3上传和下载,而各种IAM用户和角色已经可以访问当前密钥,因此创建新密钥只会使那些已经访问存储桶的用户的问题颠倒过来。
浏览 1提问于2017-10-04得票数 6
回答已采纳
我对KMS的政策说只有我能做kms:Decrypt。
"kms:Describe*",
"kms:Enable*&quo
浏览 2提问于2021-05-13得票数 1
回答已采纳
我遵循并使用以下策略创建了一个对称的KMS密钥,该策略允许将该密钥用于任何日志组(帐户ID已编辑): "Version": "2012-10-17", "kms:Decrypt*", "kms:Gener
浏览 15提问于2022-10-10得票数 0
回答已采纳
1回答
假设我有一个使用KMS密钥加密的存储桶,KMS密钥策略如下所示 "Effect" : "Allow", "AWS" :", "kms:GenerateDataKey*",
"kms:D
浏览 7提问于2021-05-26得票数 1
<Account ID>/GuardDuty/eu-west-2/2020/02/27/b60d8505-5d06-3c75-b4f6-e62cbe01094b.jsonl.gz{ "Statement": [ "Sid": "VisualEdit
浏览 2提问于2020-02-27得票数 0
回答已采纳
因此,我想要一个可以使用的密钥(kms:Encrypt、kms:Decrypt等)。对于帐户中的一般加密任务,但帐户中的主体不能修改(特别是kms:PutKeyPolicy,而不仅仅是)。除了CloudFormation没有公开给 :(资源处理程序返回消息:“新的密钥策略将不允许您在未来更新密钥策略。:List* - <em
浏览 4提问于2021-08-05得票数 1
我已经根据为SFTP管理的SFTP服务建立了亚马逊新的AWS传输下的服务器,但是我无法让它使用KMS加密密钥。在关键用户列表中,我有与我的SFTP用户相关的角色,但我怀疑“退一步”策略(用于防止SFTP用户在关联的S3桶中看到其他文件夹)中的某些内容阻止了密钥的使用,因为我试图删除跳转策略,然后一切都正常工作(有什么想法,我需要添加到逐步下降策略(或关键策略),以允许以这种方式使用KMS键?
浏览 1提问于2018-12-05得票数 5
回答已采纳
:Create*", "kms:Enable*", "kms:Update*", "km
浏览 21提问于2022-05-10得票数 0
2回答
每当我试图创建一个CMK键时,我都会得到一个错误:{"errorMessage":"User: arn:aws:sts::.未被授权执行: kms:CreateKey。我猜我需要调用那个用户的IAM策略?AWSKMS kms = AWSKMSClientBuilder.defaultClient();
CreateKeyRequest().withDescrip
浏览 3提问于2017-09-27得票数 1
云服务器
ICP备案
对象存储
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号