如何保护对KMS密钥的访问并设置它的资源策略
如何保护对KMS密钥的访问并设置它的资源策略
提问于 2022-09-08 15:14:29
我的KMS键上有一个资源策略,允许访问根帐户和Jenkins (角色A)中使用的一些额外的IAM角色。
我能够为用户(用户B)更新IAM策略,该策略允许访问KMS密钥ARN和KMS:* action。这使IAM用户能够访问所需操作的密钥。
从我正在阅读的文档中,我假设需要更新KMS关键资源策略以允许访问密钥,但似乎更新IAM用户的策略允许访问。
我如何保护我的KMS密钥,使KMS密钥资源策略成为允许哪些用户/角色访问密钥的真相来源?是否需要对KMS密钥策略设置显式拒绝,并为允许访问的用户/角色设置排除条件?
我现在观察的是KMS关键策略和IAM用户策略的预期行为吗?这是由于IAM用户的策略对密钥有明确的允许吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2022-09-08 15:31:01
有效权限将是IAM角色的基于身份的策略与KMS密钥的基于资源策略之间的逻辑交集。
如何保护KMS密钥,使KMS密钥资源策略成为允许哪些用户/角色访问密钥的真相来源?是否需要对KMS密钥策略设置显式拒绝,并为允许访问的用户/角色设置排除条件?
如果您想要设置一个“单一来源的真相”,您必须让基于身份的策略白名单所有的KMS操作,并让基于资源的策略拒绝某些需要的策略。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/73651409
复制相关文章
相似问题
腾讯云开发者
