다른 계정에 Aurora를 복제하고 싶습니다.

3473 단어 오로라kmsAWS

개요



다른 계정의 사용자가 CMK를 사용할 수 있도록 허용 에 기본적으로 걸려 있지만, 옵션적인 기술이 섞여 있어 이해하기 어려웠기 때문에 정리한다.

상황



원본 A 111122223333
  • RDS Aurora
  • DB 클러스터 설정에서 대상 B의 AWS 계정 ID 444455556666를 입력합니다.

  • KMS CMK
  • CMK 정책 후술


  • 마이그레이션 대상 B 444455556666
  • Resource Access Manager
  • 승인만

  • IAM
  • IAM 정책 후술


  • 원본 A: CMK 정책





    여기에 대상 B의 AWS 계정 ID 444455556666를 입력합니다.

    이것만으로 OK. 액세스 제한은 대상 B의 IAM 정책에서 수행됩니다.

    대상 B: IAM 정책


    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:ReEncrypt*",
                    "kms:GenerateDataKey*",
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:ListGrants",
                    "kms:RevokeGrant"
                ],
                "Resource": "arn:aws:kms:ap-northeast-1:111122223333:key/キー"
            }
        ]
    }
    

    Aurora의 암호화 키로 사용하려면 CreateGrant 등도 필요했다.
    엄밀하게는, 더 깎을 수 있다고 생각한다.

    좋은 웹페이지 즐겨찾기