AWS需要的权限来复制和加密AMI

Question

AWS需要的权限来复制和加密AMI

amazon-web-servicesamazon-ec2amazon-iamec2-amiamazon-kms

5

我将尝试将一个AMI从一个AWS账户复制到另一个，并在目标账户中使用CMK进行加密。

CMK的密钥策略如下：

{
  "Version": "2012-10-17",
  "Id": "key-default",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    }
  ]
}

我已经在目标账户中创建了一个角色，并使用以下策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:Encrypt",
                "ec2:CopyImage"
            ],
            "Resource": "*"
        }
    ]
}

此角色还附带有AmazonEC2ReadOnlyAccess策略。

如果我登录根帐户并在目标帐户中扮演角色，然后尝试使用我的CMK复制AMI，则会出现错误：快照snap-abc123xyz处于意外状态：错误。没有其他信息可以指示根本原因。

如果我将AdministratorAccess策略附加到该角色，则AMI可以成功复制，因此必须是权限问题。

有人能提供复制加密AMI所需的权限列表吗？

- smilin_stan

2个回答

0

我在尝试保存 EC2 的 AMI 时遇到了错误。

对我有效的 (唯一) 解决方法是:

进入 EC2 仪表盘
右键单击 实例，然后
选择 "镜像和模板" -> "创建镜像"

在这里找到了这些信息

- stevec

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- sudo · Accepted Answer

从这篇博客中：https://aws.amazon.com/blogs/aws/new-cross-account-copying-of-encrypted-ebs-snapshots/ 目标账号 - 目标账户中的IAM用户或角色需要能够对原始快照所关联的密钥执行DescribeKey、CreateGrant和Decrypt操作。该用户或角色还必须能够在调用CopySnapshot时对与密钥相关联的密钥执行CreateGrant、Encrypt、Decrypt、DescribeKey和GenerateDataKeyWithoutPlaintext操作。

此外，我认为这是您要寻找的内容：https://aws.amazon.com/blogs/security/how-to-create-a-custom-ami-with-encrypted-amazon-ebs-snapshots-and-share-it-with-other-accounts-and-regions/