那些遇到过的问题

在使用 Terraform for AWS 时出现错误:“新的密钥策略将不允许您在未来更新密钥策略。”

Ale*_*lex 8 amazon-web-services terraform aws-kms

在 AWS KMS 中运行 terraform 以创建密钥策略我收到错误:

  • aws_kms_key.dyn_logs_server_side_cmk:MalformedPolicyDocumentException:新的密钥策略将不允许您在未来更新密钥策略。状态码:400,请求ID:e34567896780780

有很多关于这个问题的帖子,但没有任何帮助。所以,我的 kms.tf 文件如下:

provider "aws" {
    access_key = "${var.aws_access_key}"
    secret_key = "${var.aws_secret_key}"
    region     = "${var.aws_region}"
} 
resource "aws_kms_key" "dyn_logs_server_side_cmk" {
    description = "dyn-logs-sse-cmk-${var.environment}"
    enable_key_rotation = "true"
    policy = <<EOF
{
    "Version":"2015-11-17",
    "Statement":[
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {"AWS": "arn:aws:iam::${var.account_id}:root"},
        "Action": "kms:*",
        "Resource": "*"
    }
    ]
    }EOF
}
Run Code Online (Sandbox Code Playgroud)

这就是我在输出之后看到的

terraform 应用“dyn-vpc.plan”

aws_kms_key.dyn_logs_server_side_cmk: Creating...
arn:                 "" => "<computed>"
description:         "" => "dyn-logs-server-dyn"
enable_key_rotation: "" => "true"
is_enabled:          "" => "true"
key_id:              "" => "<computed>"
key_usage:           "" => "<computed>"
policy:              "" => "{\n   \"Version\":\"2015-11-17\",\n   \"Statement\":[\n      {\n         \"Sid\": \"Enable IAM User Permissions\",\n         \"Effect\": \"Allow\",\n         
\"Principal\": {\"AWS\": \"arn:aws:iam::12345678901234:root\"},\n         \"Action\": \"kms:*\",\n         \"Resource\": \"*\"\n      }\n   ]\n}\n"

aws_kms_key.dyn_logs_server_side_cmk: Still creating... (10s elapsed)
aws_kms_key.dyn_logs_server_side_cmk: Still creating... (20s elapsed)
Error applying plan:
1 error(s) occurred:
* aws_kms_key.dyn_logs_server_side_cmk: 1 error(s) occurred:
* aws_kms_key.dyn_logs_server_side_cmk:
MalformedPolicyDocumentException: The new key policy will not allow
you to update the key policy in the future.
Run Code Online (Sandbox Code Playgroud)

gar*_*y69 7

就我而言,帐户 ID 是正确的,但创建密钥的用户未包含在Enable IAM User Permissions声明中。我不得不这样做

resource "aws_kms_key" "dyn_logs_server_side_cmk" {
    description = "dyn-logs-sse-cmk-${var.environment}"
    enable_key_rotation = "true"
    policy = <<EOF
{
    "Version":"2015-11-17",
    "Statement":[
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                 "arn:aws:iam::${var.account_id}:root",
                 "arn:aws:iam::${var.account_id}:user/system/terraform-user" 
             ]
        },
        "Action": "kms:*",
        "Resource": "*"
    }
    ]
    }EOF
}
Run Code Online (Sandbox Code Playgroud)

Ale*_*lex 2

基本上,@ydaetskcoR 的评论是正确的。策略中的 account_id 不正确,这导致了错误。MalformedPolicyDocumentException 并不能提供真正的信息,需要找到真正的原因

归档时间:

查看次数:

3286 次

最近记录:

4 年,8 月 前
相关归档
强制CloudFront分发/文件更新 144
在amazon lambda中,在并行异步抛出中调整多个缩略图大小的大小错误:Stream产生空缓冲区 8
Zappa:UpdateFunctionConfiguration操作:此时无法执行该操作。资源正在进行更新 8
如何在不知道Content-Type的情况下生成AWS S3预先签名的URL请求? 7
Route53 私有托管区域是否会在两个账户中通过 AWS VPC 对等互连工作 7
AWS Lambda Layers - Typescript - 在索引处理程序中指定导入时出现问题,因为在层中需要采用 /opt/nodejs/ 形式 7
Disable health-check logging in AWS ELB Django Application 6
Terraform 多个 for_each 资源 6
由于 MQTT 错误,AWS App Sync 订阅不起作用 5
RDS 升级 postgres 版本 13.1,不支持的数据库实例类 4
难疑归档
event.preventDefault()与return false 2891
如何决定何时使用Node.js? 2198
如何将元素移动到另一个元素? 1611
按值对地图<键,值>进行排序 1569
为什么我需要一直做`--set-upstream`? 1364
将JavaScript字符串转换为全部小写? 1260
创建一个带参数的Bash别名? 1164
这是什么意思?"'NSUnknownKeyException',原因:...此类不是键值X的键值编码兼容" 1143
检查是否使用jQuery选中了复选框 1122
AngularJS中指令范围内的'@'和'='有什么区别? 1053