使用默认 aws/S3 KMS 密钥对解密对象进行跨账户访问

Posted 2023-03-28

【中文标题】使用默认 aws/S3 KMS 密钥对解密对象进行跨账户访问

【英文标题】：cross account access for decrypt object with default aws/S3 KMS key

【发布时间】：2021-11-29 21:54:09

【问题描述】：

在我的账户 A 中，我有 S3 存储桶，其中对象被加密默认 AWS 托管密钥 aws/s3。

我想从帐户 B lambda 中读取这些对象。但在账户 A 中，对象使用 AWS 托管密钥 aws/s3 加密，我无法在此处修改 KMS 密钥策略。

我尝试在帐户 A 中创建一个角色，该角色具有所有 KMS 和 S3 权限，并信任帐户 B 中的角色。然后我从帐户 B 担任 A 中的这个角色。但仍然得到

Access denied error in GetObject

我可以在这里做什么来从帐户 A 中读取对象。请指导。

帐户 A 中的角色

statement

   Action: kms:*
   Resource : "*"
   Effect: allow


  Action: S3:*
   Resource : 
      arn:aws:s3:::my-s3
      arn:aws:s3:::my-s3/*
   Effect: allow

【问题讨论】：

你能展示一下这个角色吗？

@Marcin 添加了角色。请忽略语法错误

密钥策略是否允许该新角色？

【参考方案1】：

aws/s3 是一个AWS managed key。正如docs 解释的那样，您不能将它们用于跨帐户访问。

由于无法更新 AWS 托管的 KMS 密钥策略，因此也无法为这些密钥策略授予跨账户权限。此外，使用 AWS 托管 KMS 密钥加密的对象其他 AWS 账户无法访问。

您必须使用customer managed keys (CMK) 进行跨帐户访问。