5

场景:我们的一个脚本使用 boto3 kms api 来 PUT 和 GET SSM 参数以及 KMS 加密和解密。SSM 参数放置工作得非常好,并且在 EC2 SSM 参数存储中使用安全字符串添加参数(解密为真)。我们面临的问题是在尝试获取 SSM 参数值且解密为真时。尝试运行以下 boto3 脚本(在运行 get_ssm_parameters_by_path 时)运行此脚本的相应 lambda 代码会引发以下错误:

       session = boto3.Session()
       ssm_client = session.client('ssm', 'us-east-1')
       ssm_parameters = []
       response = ssm_client.get_parameters_by_path(
         Path=self.ssm_parameter_path,
         Recursive=True,
         WithDecryption=True
       )

ERROR:调用GetParametersByPath操作时发生错误(AccessDeniedException):密文指的是不存在的客户主密钥,在该区域不存在,或者您不允许访问。(服务:AWSKMS;状态代码:400;错误代码:AccessDeniedException;请求 ID:eaaxx-7ae7-11e8-97xx5e-b9exxxxxxx410):ClientError

我浏览了有关使用 KMS 加密和解密的不同 AWS 文档,并更新了我的策略文档,如下所示,但到目前为止还没有运气。lambda 使用的角色具有以下策略访问权限:

{
"Sid": "AllowSSMAccess",
"Effect": "Allow",
"Action": ["kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"],
"Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>",
"Condition": {
    "StringEquals": {
        "kms:ViaService": "ssm.us-east-1.amazonaws.com",
        "kms:CallerAccount": "AWS_ACCOUNT_NUMBER"
    }
  }
}, 
{
"Sid": "AllowKeyMetadata",
"Effect": "Allow",
"Action": ["kms:Describe*", "kms:Get*", "kms:List*"],
"Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>"
},  
{
  "Sid": "KeyAccess",
  "Effect": "Allow",
  "Action": [
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Get*",
"kms:TagResource"
  ],
  "Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>"
}

其中 AWS_ACCOUNT_NUMBER 是我的 AWS 帐号,kms 密钥 ID 是默认的“aws/ssm”密钥,用于加密和解密 SSM 参数。密钥确实存在于帐户中。我们提供的区域是“us-east-1”,所以可以到 0。错误的最后一部分说“或者你没有访问权限”。

我可以看到该参数在 EC2 SSM 参数存储中可用,并使用我用来解密的 KEY ID 正确解密。

为了成功运行“get_parameters_by_path”,我们需要执行哪些其他策略访问或添加。

4

2 回答 2

9

您必须定义以下策略才能访问参数存储密钥。

{
   "Sid": "getParameter",
    "Effect": "Allow",
    "Action": [
        "ssm:GetParameters"
    ],
    "Resource": "arn:aws:ssm:<region>:<AWS_ACCOUNT_NUMBER>:parameter/<Parameter_Store_Key_Name>"
},
{
    "Sid": "decryptKey",
    "Effect": "Allow",
    "Action": [
        "kms:Decrypt"
    ],
    "Resource": "arn:aws:kms:<region>:<AWS_ACCOUNT_NUMBER>:key/<aws/ssm_Key_Id>"
}

ssm:GetParameters 将允许我们访问 Parameter_Store_Key_Name。请参阅https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html

于 2019-01-24T14:05:49.950 回答
1

所以,至少对我们来说,解决方案是在 IAM 中。在列表的底部有一个称为加密密钥的部分。您需要将相关用户或角色添加到相关密钥。这个错误很痛苦,因为它只直接引用 SSM,所以它会误导解决方案的位置。

更多信息:https ://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users

于 2018-07-19T18:01:23.150 回答