我试图将AMI从一个AWS账户复制到另一个账户,并使用目标账户中的CMK对其进行加密。复制和加密AMI所需的AWS权限
在CMK的主要政策是:
{
"Version": "2012-10-17",
"Id": "key-default",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
我已经创建了具有以下政策目标帐户的角色:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:Encrypt",
"ec2:CopyImage"
],
"Resource": "*"
}
]
}
此外,隶属该角色是AmazonEC2ReadOnlyAccess
政策。
如果我登录到根帐户并在目标帐户中承担角色,然后尝试使用我的CMK复制AMI,则它将失败,并显示Snapshot snap-abc123xyz is in an unexpected state: error
。没有关于快照的附加信息来指示根本原因。
如果我将AdministratorAccess
策略附加到AMI复制OK的角色,那么它必须是权限问题。
有人可以提供复制AMI加密所需的权限列表吗?