那些遇到过的问题

AWS KMS - 当我尝试加密数据时,为什么需要“kms:Decrypt”权限?

Ori*_*man 3 encryption amazon-s3 amazon-sqs amazon-web-services amazon-kms

我注意到在以下两种情况下:

  1. S3 -PutObject到加密的存储桶。
  2. SQS -SendMessage加密队列。

我需要有kms:Decrypt权限(除了kms:GenerateDataKey权限之外),否则会抛出“未经授权”的异常。

为什么会这样呢?

Fog*_*orn 7

来自 AWS:

对 kms:Decrypt 的调用是在使用新数据密钥之前验证其完整性。因此,生产者必须拥有客户主密钥 (CMK) 的 kms:GenerateDataKey 和 kms:Decrypt 权限。

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html#sqs-what-permissions-for-sse

归档时间:

查看次数:

8850 次

最近记录:

4 年,8 月 前
相关归档
尝试在 AWS 中创建存储桶 ACL 时出现错误 AccessControlListNotSupported 59
AWS S3显示内联而非强制下载文件 57
如何在Gradle中使用加密密码到Maven存储库 16
带有 ALB 入口控制器的 Terraform AWS Kubernetes EKS 资源不会创建负载均衡器 10
存储TOTP的密钥 6
分区未在 Amazon Athena 中返回任何结果 6
AWS Java SDK手动设置签名版本 4
Cloudfront 签名 URL 不适用于使用 .NET SDK 的带空格的 S3 内容处置文件名 1
AWS IAM 全局条件键 aws:PrincipalOrgPaths 抛出访问被拒绝 0
预签名 S3 url 在到期时间后有效 0
难疑归档
Java是"通过引用传递"还是"传递价值"? 6270
如何水平居中<div>? 4116
如何在Java中生成特定范围内的随机整数? 3373
**(双星/星号)和*(星号/星号)对参数有什么作用? 2149
ORM(对象关系映射)中的"N + 1选择问题"是什么? 1507
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
为什么我需要一直做`--set-upstream`? 1364
将图像加载到Bitmap对象时出现奇怪的内存不足问题 1252
将项目导入Eclipse后,"必须覆盖超类方法"错误 1223
更改列:null为非null 1177