1 votes

jmalacho avatar

J'essaie d'utiliser un alias de clé kms dans une politique de seau.

Demandé el 21 de Août, 2019
Quand la question a-t-elle été
1555 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'utilise la politique suivante en matière de seaux :

{ "Version" : "2012-10-17", "Id" : "Policy1566337631537", "Statement" : [ { "Sid" : "Stmt156", "Effect" : "Deny", "Principal" : " ", "Action" : "s3:PutObject ", "Resource" : "arn:aws:s3:::jmalacho-test-bucket23/*", "Condition" : { "StringNotEquals" : { "s3:x-amz-server-side-encryption-aws-kms-key-id" : "arn:aws:kms:us-east-2:123456789012:alias/ExampleAlias" } } } ] }

Ensuite, lorsque j'essaie de télécharger un fichier à l'aide du CLI, j'obtiens une erreur d'accès refusé.

aws s3 cp notes.txt s3://jmalacho-test-bucket23/notes.txt --sse aws:kms --sse-kms-key-id alias/ExampleAlias

Si j'utilise la clé-id arn, la pollicie fonctionne. N'est-il pas possible d'utiliser un key-alias dans une politique de seau ?

Gracias

Demandé el 21 de Août, 2019 par jmalacho

Réponse

Trop de publicités?

1voto

izk9 avatar
izk9 Points 51

La documentation suggère que vous ne pouvez pas.

Amazon S3 prend également en charge le s3:x-amz-server-side-encryption-aws-kms-key-id clé de condition, que vous pouvez utiliser pour exiger une clé KMS spécifique pour le cryptage des objets. La clé KMS que vous spécifiez dans la stratégie doit utiliser la clé arn:aws:kms:region:acct-id:key/key-id formato.

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html

Un alias ne serait pas cohérent avec le concept d'exigence d'une "clé KMS spécifique" tel que mentionné ci-dessus, puisqu'un alias ne fait pas référence à une clé spécifique, sauf de manière transitoire lorsque l'alias pointe vers la clé.

Aussi :

Vous pouvez utiliser un alias comme valeur du paramètre KeyId uniquement dans les opérations suivantes :

  • DescribeKey

  • Encrypt

  • GenerateDataKey

  • GenerateDataKeyWithoutPlaintext

  • ReEncrypt

https://docs.aws.amazon.com/kms/latest/developerguide/programming-aliases.html

Répondu el 22 de Août, 2019 par izk9 (51 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X