如果一个AMI中的卷带有KMS加密,这个KMS需要是自己创建的
如果是使用了AWS自己托管的,那么那个AMI将不支持分享到其他账号,所以这个需要注意一下
目标:可以分享给其他账号,其他账号可以使用AMI创建机器,创建的过程中,还可以修改成自己账号下的KMS
1、为AMI卷使用的KMS策略中,添加其他账号的使用权限
{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws-cn:iam::704507594123:user/qq-5201351", "arn:aws-cn:iam::123456092492:root", "arn:aws-cn:iam::123456092493:root", "arn:aws-cn:iam::123456092494:root" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
2、到其他账号,及目标账号为IAM用户添加上KMS的权限即可,如果只是临时测试,可以使用如下策略
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "kms:*", "Resource": "*" } ] }
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17945684
作者:一名卑微的IT民工
出处:https://www.cnblogs.com/5201351
本博客所有文章仅用于学习、研究和交流目的,欢迎非商业性质转载。
由于博主的水平不高,文章没有高度、深度和广度,只是凑字数,不足和错误之处在所难免,希望大家能够批评指出。
博主是利用读书、参考、引用、复制和粘贴等多种方式打造成自己的文章,请原谅博主成为一个卑微的IT民工!
