다른 계정에 Aurora를 복제하고 싶습니다.

개요

다른 계정의 사용자가 CMK를 사용할 수 있도록 허용 에 기본적으로 걸려 있지만, 옵션적인 기술이 섞여 있어 이해하기 어려웠기 때문에 정리한다.

상황

원본 A 111122223333

RDS Aurora

DB 클러스터 설정에서 대상 B의 AWS 계정 ID 444455556666를 입력합니다.

KMS CMK

CMK 정책

후술

마이그레이션 대상 B 444455556666

Resource Access Manager

승인만

IAM

IAM 정책

후술

원본 A: CMK 정책

여기에 대상 B의 AWS 계정 ID 444455556666를 입력합니다.

이것만으로 OK. 액세스 제한은 대상 B의 IAM 정책에서 수행됩니다.

대상 B: IAM 정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "arn:aws:kms:ap-northeast-1:111122223333:key/キー"
        }
    ]
}

Aurora의 암호화 키로 사용하려면 CreateGrant 등도 필요했다.
엄밀하게는, 더 깎을 수 있다고 생각한다.

Reference

이 문제에 관하여(다른 계정에 Aurora를 복제하고 싶습니다.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/DianthuDia/items/5b942f410f296c738484

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다