问题标签 [aws-kms]

我正在尝试使用 KMS 解密存储在 S3 存储桶中的文件。在 EC2 实例中，我可以从 S3 检索此文件，但是当我尝试使用 KMS 对其进行解密时，我收到以下错误：

HTTPSConnectionPool(host='kms.us-east-1.amazonaws.com', port=443): 最大重试次数超出 url: / (由 ConnectTimeoutError(, 'Connection to kms.us-east-1.amazonaws.com超时。（连接超时=60）'））

但是，我能够从我的本地计算机成功解密此文件。有谁知道为什么会这样？

如果需要其他信息，我很乐意提供:)

我正在尝试使用 powershell 上的 aws cli 加密和解密内容（不是 powershell 特定的，而是标准的）

这是我的方法，这似乎更接近事实：

结果是

如你看到的：

• 我定义了一个输入“foo”，最后变成“Zm9v”
• “Zm9v”不是base64
• 我获取 encrypt 命令结果，从 JSON 转换为 Powershell 对象，然后获取 CiphertextBlob
• 我将其从 base64 解码为纯文本，并使用 WriteAllBytes 将其写入二进制文件
• 最后我使用 fileb 用解密命令读取二进制文件

所以我的问题似乎是：

我必须在某处缺少编码......如果有人可以帮助我进步:-D

问候， 蒂博

我正在尝试将 AMI 从一个 AWS 账户复制到另一个账户，并使用目标账户中的 CMK 对其进行加密。

CMK 的关键策略是：

我使用以下策略在目标帐户中创建了一个角色：

附加到这个角色的还有AmazonEC2ReadOnlyAccess策略。

如果我登录到根账户并担任目标账户中的角色，然后尝试使用我的 CMK 复制 AMI，它会失败并显示Snapshot snap-abc123xyz is in an unexpected state: error. 快照上没有其他信息可指示根本原因。

如果我将AdministratorAccess策略附加到 AMI 复制的角色，那么它一定是权限问题。

有人可以提供复制带有加密的 AMI 所需的权限列表吗？

我正在尝试设置aws rds copy-db-snapshot使用 KMS 加密密钥的最小权限：

（其中的所有内容都<>被我剥离并包含有效值。）

不幸的是，我收到了这个错误：

目前我允许这些操作：

如果我用 替换它就可以了kms:*{code}，所以它一定是权限问题。

我试图用 CloudTrail 找出正确的权限，但它只包含同样无用的错误消息。

所以我的实际问题：

• CopyDBSnapshot 的最低 KMS 权限是多少？
• 有没有一种通用的方法来确定所需的权限？通过谷歌搜索所需的权限来浪费我的时间总是很痛苦。

编辑：这是启用的日志输出的底部--debug：

FTR：我在 AWS 论坛上发帖：https ://forums.aws.amazon.com/thread.jspa?messageID=801745

我尝试编写一个代码，加密我的数据，然后我尝试执行我的代码我得到一个错误：

这是一个错误：

PAD = lambda s: s + (32 - len(s) % 32) * ' ' TypeError: can't concat str to bytes 也许谁知道问题出在哪里？请建议

我尝试在Python上使用Crypto和AWS KMS加密然后解密文本，我有以下代码：

我加密测试消息“你好，Worldas！” my encrypted_data in output looks like : b'ESsdSQv6JxpQptBmj321eX/bVj3gyGJ7AHtrH5qeIfTWbqSzIP7i6URrZFme1PGSNRGzl12B/NBFbK0nHBcCcaj9Wb9Qh+YMYJjeSTnGWOKFWmcIKYAAut9d040xiWG0KKBwHJTdl+41+g8F2ueSWqO1zR9Uuw1qyekF9s/141W7t+Le8IRe60tQKhgMAW5qxDVGluWZGJXLYDLIqFXszN9OhLmjwbMnF4g0ryMq41xbAXH77x0EJODhF1GQ+peHnKuexlhuzRjq1XVAvIgxQ1kYvBSE9AkqqCsO5BwIJuAlwfOWA93gSyTgLmWOg8bPTan4UnQNtTQ3vaRScffPgg=='

但后来我尝试解密我得到输出：b'-94\xc1\xee\xecF\xfbw9\x81o;\x9d\x1a\x10'而不是'Hello, Worldas!' 也许谁知道问题出在哪里？为什么会发生？以及如何正确加密和解​​密我的文件？请建议！

我正在尝试使用 cloudformation 创建我的加密密钥。所以只是为了测试我有一个非常简单的如下：

}

它工作正常，但这不是我想要的。相反，我想将已经存在的策略附加到它上面，例如：

但这不起作用，我收到以下错误：

任何人都可以帮助我。它完全可行吗？

我使用 kms 密钥加密了 s3 存储桶中的对象。我需要将此密钥传递给雪花

https://docs.snowflake.net/manuals/user-guide/data-load-create-stage.html#creating-an-external-stage

它想要 encryption=(master_key = 'eSxX0jzYfIamtnBKOEOwq80Au6NbSgPH5r4BDDwOaO8=')

我可以查看我的 kms 密钥，但实际上看不到密钥值。

它在控制台中也不可见。我如何查看密钥是什么？

我正在尝试用 / 形成文本。这是我的cloudformation代码：

我在此行收到约束验证错误：

显然 cfn 不喜欢 / 那里。但是，当我用静态的东西替换子函数时：

另外，当我按如下方式使用 join 时：

我收到以下错误：

属性 AliasName 的值必须是 String 类型

如何实现上述目标并通过约束问题？或者有可能吗？

当文件未加密（纯文本）服务器端时，下面的代码有效。我正在尝试从同一个存储桶下载另一个文件，但这个文件是通过 KMS 加密的。

我已经尝试过 SSECustomerKey 并添加了 .withSSECustomerKey(myKey)，但没有运气。关于如何修改此代码的任何想法，或者可以指出我正确的方向？