本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
共用用於加密共用 Amazon KMS 快照的 EBS 金鑰
當您共用加密快照時,您也必須共用加密該快照時所用的客戶受管金鑰。您可以在建立客戶受管金鑰時,為其套用跨帳戶許可,或之後再套用。
存取加密快照的共用客戶受管金鑰使用者必須獲得許可,才可對金鑰執行下列動作:
-
kms:DescribeKey -
kms:CreateGrant -
kms:GenerateDataKey -
kms:GenerateDataKeyWithoutPlaintext -
kms:ReEncrypt -
kms:Decrypt
提示
若要遵循最低權限原則人,請勿允許 kms:CreateGrant 的完整存取。反之,使用 kms:GrantIsForAWSResource 條件索引鍵,僅允許使用者在 KMS 索引鍵上建立授予,前提是該授予是由 AWS 服務代使用者建立。
如需控制客戶受管金鑰存取的詳細資訊,請參閱 AWS KMS開發人員指南中的在AWS Key Management Service 中使用金鑰政策。
使用 AWS KMS 主控台共用客戶受管金鑰
-
在 https://console.aws.amazon.com/kms
開啟 AWS KMS 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選取器。
-
選擇導覽窗格中的 Customer managed keys (客戶受管金鑰)。
-
在 (Alias) 別名資料欄中,選擇用來加密快照的客戶管理金鑰別名 (文字連結)。重要詳細資料會在新頁面開啟。
-
在 Key policy (金鑰政策) 區段中,您會看到 policy view (政策檢視) 或 default view (預設檢視)。原則檢視會顯示重要的政策文件。預設檢視會顯示 Key administrators (金鑰管理員)、Key deletion (金鑰刪除)、Key Use (金鑰使用) 和 Other AWS accounts (其他 AWS 帳戶) 的區段。如果已在主控台中建立政策,但尚未自訂政策,則會顯示預設檢視。如果無法使用預設檢視,則需要在政策檢視中手動編輯政策。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的 檢視金鑰政策 (主控台)。
根據您可以存取的檢視,使用政策檢視或預設檢視,將一或多個 AWS 帳戶 IDs 新增至政策,如下所示:
(政策檢視) 選擇 Edit (編輯)。將一或多個 AWS 帳戶 IDs 新增至下列陳述式:
"Allow use of the key"和"Allow attachment of persistent resources"。選擇 Save changes (儲存變更)。在下列範例中, AWS 帳戶 ID444455556666會新增至政策。{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} }-
(預設檢視) 向下捲動至其他 AWS 帳戶。選擇新增其他 AWS 帳戶,然後依提示輸入 AWS 帳戶 ID。若要新增另一個帳戶,請選擇新增另一個 AWS 帳戶,然後輸入 AWS 帳戶 ID。新增所有 AWS 帳戶之後,選擇 Save changes (儲存變更)。
