Erteilen Sie Benutzern, Rollen, Gruppen Zugriff auf KMS-Schlüssel

Question

Ich möchte jedem Benutzer (Benutzer, Rollen, Gruppen) in einem AWS-Konto Zugriff auf einen KMS-Schlüssel mit einer YAML geben, die in CloudFormation hochgeladen werden kann. Wie würde dieser Code geändert, um dies zu ermöglichen? Ich habe den root-Account zur besseren Übersicht hinzugefügt (- 'arn: aws: iam :: ############: root'). Ich möchte nicht jeden Benutzer, jede Gruppe oder jede Rolle einzeln auflisten.

Vielen Dank.

Resources: 
    key: 
    Type: 'AWS::KMS::Key' 
    Properties: 
     KeyPolicy: 
     Version: 2012-10-17 
     Id: key-default-1 
     Statement: 
      - Sid: "Devkey" 
      Effect: Allow 
      Principal: 
       AWS: 
       - 'arn:aws:iam::############:root' 
      Action: 
       - 'kms:*' 
      Resource: '*' 
    SSGSKeyAlias: 
    Type: "AWS::KMS::Alias" 
    Properties: 
     AliasName: !Join [ "/", [ alias, DevKey ] ] 
     TargetKeyId: 
     Ref: key 

Answer 1

Wenn Sie Zugriff auf das Root-Konto gewähren, wie Sie getan haben, dass Sie den Zugriff über IAM (docs reference)

Sobald dies erledigt ist zu verwalten, können Sie IAM-Richtlinien erstellen und Benutzern zuweisen/Gruppen/Rollen, die den Zugriff auf die KMS-Schlüssel ermöglichen.

Hilfreiche Lektüre wäre die KMS-Dokumentation auf using kms key policies

Answer 2

Hier .. Verstanden zu arbeiten.

Resources: 
    key: 
    Type: 'AWS::KMS::Key' 
    Properties: 
     KeyPolicy: 
     Version: 2012-10-17 
     Id: key-default-1 
     Statement: 
      - Sid: "Devkey" 
      Effect: Allow 
      Principal: 
       AWS: '##AccountNumber##' 
      Action: 
       - 'kms:*' 
      Resource: '*' 
    SSGSKeyAlias: 
    Type: "AWS::KMS::Alias" 
    Properties: 
     AliasName: !Join [ "/", [ alias, DevKey ] ] 
     TargetKeyId: 
     Ref: key