1

我试图了解以下策略的特殊含义Principal Service,我已将其附加到 AWS KMS 密钥。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ecs-tasks.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*"
        }
    ]
}

这是否意味着我的软件(在 fargate 的 docker 内运行)可以调用此 KMS 密钥来加密数据?

或者

是不是说ecs本身可以调用这个KMS密钥来加密一些东西呢?

4

1 回答 1

2

在这种情况下,它意味着两件事。这是因为IAM Roles for Tasks以及ECS 任务执行 IAM 角色使用相同ecs-tasks.amazonaws.com.

您必须准确指定Resource可以使用密钥的角色。现在*只有,任何角色,要么IAM Roles for TasksECS task execution IAM role可以使用这样的密钥。

于 2021-03-18T10:54:24.380 回答