我将尝试将一个AMI从一个AWS账户复制到另一个,并在目标账户中使用CMK进行加密。
CMK的密钥策略如下:
我已经在目标账户中创建了一个角色,并使用以下策略:
CMK的密钥策略如下:
{
"Version": "2012-10-17",
"Id": "key-default",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
我已经在目标账户中创建了一个角色,并使用以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:Encrypt",
"ec2:CopyImage"
],
"Resource": "*"
}
]
}
此角色还附带有AmazonEC2ReadOnlyAccess
策略。
如果我登录根帐户并在目标帐户中扮演角色,然后尝试使用我的CMK复制AMI,则会出现错误:快照snap-abc123xyz处于意外状态:错误
。没有其他信息可以指示根本原因。
如果我将AdministratorAccess
策略附加到该角色,则AMI可以成功复制,因此必须是权限问题。
有人能提供复制加密AMI所需的权限列表吗?