AWS中kms:GenerateDataKey的目的是什么?
我正在AWS Lambda上编写一个无服务器函数。 在某些情况下,我需要使用kms:GenerateDataKey*权限。 这个权限的目的是什么?我查看了AWS文档,但它太晦涩了。有人能给出这个权限在何时何地被使用的实际示例吗?
在使用CloudFormation创建KMS Key时,出现消息“没有IAM权限处理AWS :: KMS :: Key资源上的标记”。
在使用Cloudformation创建新KMS密钥时,在“状态原因”列中看到此消息: 没有IAM权限处理AWS::KMS::Key资源上的标签 Cloudformation堆栈似乎已正确创建,但我想知道如何防止显示此消息? 我正在使用以下Cloudformation模板创建KMS...
AWS IAM策略:多个操作和多个资源
这是关于AWS IAM策略的问题,涉及多个操作与多个资源(可能不相关)。我的参数'myparam'使用密钥'mykey'进行加密,我有如下分开的策略块,一个用于参数,一个用于密钥,它能够正常工作。 { { "Action": [ "ssm:Ge...
如何使AWS跨账户KMS密钥生效?
我正在尝试设置跨账户访问,允许外部账户使用我的 KMS 密钥从 S3 存储桶解密数据。我已经创建了密钥、策略和角色,并授予了正确的权限,但是在外部账户中无法描述该密钥。希望能够得到一些关于我做错了什么的指导。 账户111:拥有可授权给其他账户根(999)的密钥{ "Version": "...
在使用Terraform for AWS时出现错误:"新的密钥策略将不允许您在未来更新密钥策略。"
在AWS KMS中运行terraform以创建密钥策略时,我遇到了错误: aws_kms_key.dyn_logs_server_side_cmk: MalformedPolicyDocumentException:新密钥策略将不允许您在将来更新密钥策略。 状态代码:400,请求ID:e3...
如何在CloudFormation模板中访问当前用户?
我想使用CloudFormation创建一个KMS密钥。我希望能够为执行cloudformation YAML文件的用户(我称之为“cloudformation-runner”)提供管理访问所创建的密钥。 我可以设置IAM策略,为该用户(“cloudformation-runner”)提供访...
AWS云HSM和KMS有什么区别?
我正在尝试理解AWS(Amazon Web Services)中的关键管理服务,我发现Amazon建议更多地使用AWS密钥管理服务(KMS)而不是云硬件安全模块(Cloud HSM)。但是我很难找到两者之间的主要区别,即KMS与Cloud-HSM。 可以有人列出这两种技术的几个主要差异或比较...
AWS-CDK:在AWS-CDK中跨多个区域(跨区域)的堆栈之间传递跨堆栈引用属性。
我需要部署一个栈,我们称其为父栈,在一个区域中。 接着需要在另一个区域中部署第二个栈(子栈),但是第二个栈的区域不能包括父栈的区域。第二个栈可以在多个区域中部署。 然而,第二个栈需要来自第一个栈的一些props。具体来说,它需要 ARN 值。默认区域是 us-east-1,这是父栈将要部署的...
如何使用CloudFormation加密AWS Lambda环境变量
我正在处理一个包含Lambda函数和敏感环境变量的AWS CloudFormation模板。我希望设置一个KMS密钥并使用它进行加密,虽然在控制台中很容易实现,但在CloudFormation中却非常困难。 请问是否有人能够发布一个基本的CloudFormation JSON对象,该对象包含...
使用KMS解密的AWS SSM参数获取
场景: 我们的一个脚本使用boto3 kms api来加密和解密SSM参数,并将其放到EC2 SSM参数存储中。SSM参数的put操作非常好用,参数被添加(解密为true)到安全字符串中。我们遇到的问题是在尝试以解密为true的方式获取SSM参数值时遇到了问题。对应的Lambda代码运行此脚本...