1. Zuhause
  2. Frage und Antwort
  3. AWS-Berechtigungen zum Kopieren und Verschlüsseln von AMI erforderlich

AWS-Berechtigungen zum Kopieren und Verschlüsseln von AMI erforderlich

2017-08-16 1 views
1

Ich versuche, ein AMI von einem AWS-Konto in ein anderes zu kopieren und mit einem CMK im Zielkonto zu verschlüsseln.AWS-Berechtigungen zum Kopieren und Verschlüsseln von AMI erforderlich

Der Schlüssel Politik auf der CMK ist:

{ 
    "Version": "2012-10-17", 
    "Id": "key-default", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Principal": { 
     "AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root" 
     }, 
     "Action": "kms:*", 
     "Resource": "*" 
    } 
    ] 
}

Ich habe eine Rolle bei dem Zielkonto mit der folgenden Richtlinie erstellt:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": [ 
       "kms:ListAliases", 
       "kms:GenerateDataKey", 
       "kms:DescribeKey", 
       "kms:Encrypt", 
       "ec2:CopyImage" 
      ], 
      "Resource": "*" 
     } 
    ] 
}

Auch auf diese Rolle angebracht ist AmazonEC2ReadOnlyAccess Politik.

Wenn ich mich beim root-Konto anmelde und die Rolle im Zielkonto übernehme und dann versuche, das AMI mit meinem CMK zu kopieren, schlägt es mit Snapshot snap-abc123xyz is in an unexpected state: error fehl. Es gibt keine zusätzlichen Informationen zum Snapshot, die auf die Ursache hinweisen.

Wenn ich die AdministratorAccess Richtlinie an die Rolle anfügen, die das AMI kopiert, OK, so muss es ein Berechtigungsproblem sein.

Kann jemand die Liste der Berechtigungen bereitstellen, die zum Kopieren eines AMI mit Verschlüsselung erforderlich sind?

Quelle

2017-08-16 smilin_stan

Antwort

1

Von diesem Blog: https://aws.amazon.com/blogs/aws/new-cross-account-copying-of-encrypted-ebs-snapshots/

„Zielkonto - IAM Benutzer oder einer Rolle in das Zielkonto muss die DescribeKey, CreateGrant und Entschlüsseln Operationen auf dem Schlüssel mit dem ursprünglichen Snapshot zugeordnet werden können führen die Benutzer. Die Rolle muss auch in der Lage sein, die Operationen CreateGrant, Encrypt, Decrypt, DescribeKey und GenerateDataKeyWithoutPlaintext auf dem Schlüssel auszuführen, der dem Aufruf von CopySnapshot zugeordnet ist. "

Auch ich glaube, das ist, was Sie suchen: https://aws.amazon.com/blogs/security/how-to-create-a-custom-ami-with-encrypted-amazon-ebs-snapshots-and-share-it-with-other-accounts-and-regions/

Quelle

2017-08-16 18:09:25 sudo

Verwandte Themen

 Verwandte Themen