1

我注意到在以下两种情况下:

  1. S3 -PutObject到一个加密的桶。
  2. SQS -SendMessage加密队列。

我需要有kms:Decrypt权限(除了kms:GenerateDataKey权限),否则会抛出“未经授权”的异常。

为什么会这样?

4

1 回答 1

4

来自 AWS:

对 kms:Decrypt 的调用是在使用新数据密钥之前验证它的完整性。因此,生产者必须拥有客户主密钥 (CMK) 的 kms:GenerateDataKey 和 kms:Decrypt 权限。

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html#sqs-what-permissions-for-sse

于 2021-06-28T17:05:51.563 回答