AWS KMS - 当我尝试加密数据时，为什么需要"kms:Decrypt"权限？

Question

3

我注意到在以下两种情况下：

除了需要kms:GenerateDataKey权限之外，我还需要拥有kms:Decrypt权限，否则会抛出“未授权”异常。

为什么会这样呢？

- Ori Wasserman

你的意思是 SQS 还需要 kms:Decrypt 吗？还是 kms:Encrypt？ - Marcin

@Marcin 我是说 kms:Decrypt。而且它不是SQS，是调用 SendMessage 的服务。 - Ori Wasserman

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Foghorn · Accepted Answer

来自AWS：

kms:Decrypt的调用是为了在使用新数据密钥之前验证其完整性。因此，生产者必须具有客户主密钥（CMK）的kms:GenerateDataKey和kms:Decrypt权限。