我试图避免在 AWS EC2 实例上运行的 python 应用程序中对 AWS 'KMS 密钥'进行硬编码。AWS EC2 实例分配有一个 IAM 角色,其中定义了对特定 KMS 密钥的访问权限。该实例无权列出帐户中的所有 KMS 密钥,但只能访问一个。有没有办法获取 KMS 密钥名称,它可以从应用程序访问(使用 boto3?) KMS 密钥 IAM 角色定义如下所示:
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GetKeyPolicy",
"kms:GetKeyRotationStatus",
"kms:GetParametersForImport",
"kms:ListAliases",
"kms:ListGrants",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListResourceTags",
"kms:ListRetirableGrants"
],
"Resource": [
"arn:aws:kms:xx-xxxx-x:xxxxxxxx:key/yyyy-yyy-yyyy-yyyy-yyyy"
]