Ich versuche, ein AMI von einem AWS-Konto in ein anderes zu kopieren und mit einem CMK im Zielkonto zu verschlüsseln.AWS-Berechtigungen zum Kopieren und Verschlüsseln von AMI erforderlich
Der Schlüssel Politik auf der CMK ist:
{
"Version": "2012-10-17",
"Id": "key-default",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
Ich habe eine Rolle bei dem Zielkonto mit der folgenden Richtlinie erstellt:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:Encrypt",
"ec2:CopyImage"
],
"Resource": "*"
}
]
}
Auch auf diese Rolle angebracht ist AmazonEC2ReadOnlyAccess
Politik.
Wenn ich mich beim root-Konto anmelde und die Rolle im Zielkonto übernehme und dann versuche, das AMI mit meinem CMK zu kopieren, schlägt es mit Snapshot snap-abc123xyz is in an unexpected state: error
fehl. Es gibt keine zusätzlichen Informationen zum Snapshot, die auf die Ursache hinweisen.
Wenn ich die AdministratorAccess
Richtlinie an die Rolle anfügen, die das AMI kopiert, OK, so muss es ein Berechtigungsproblem sein.
Kann jemand die Liste der Berechtigungen bereitstellen, die zum Kopieren eines AMI mit Verschlüsselung erforderlich sind?