复制和加密AMI所需的AWS权限

Question

我试图将AMI从一个AWS账户复制到另一个账户，并使用目标账户中的CMK对其进行加密。

在CMK的主要政策是：

{ 
    "Version": "2012-10-17", 
    "Id": "key-default", 
    "Statement": [ 
    { 
     "Effect": "Allow", 
     "Principal": { 
     "AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root" 
     }, 
     "Action": "kms:*", 
     "Resource": "*" 
    } 
    ] 
} 

我已经创建了具有以下政策目标帐户的角色：

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": [ 
       "kms:ListAliases", 
       "kms:GenerateDataKey", 
       "kms:DescribeKey", 
       "kms:Encrypt", 
       "ec2:CopyImage" 
      ], 
      "Resource": "*" 
     } 
    ] 
} 

此外，隶属该角色是AmazonEC2ReadOnlyAccess政策。

如果我登录到根帐户并在目标帐户中承担角色，然后尝试使用我的CMK复制AMI，则它将失败，并显示Snapshot snap-abc123xyz is in an unexpected state: error。没有关于快照的附加信息来指示根本原因。

如果我将AdministratorAccess策略附加到AMI复制OK的角色，那么它必须是权限问题。

有人可以提供复制AMI加密所需的权限列表吗？

Answer 1

从这个博客：https://aws.amazon.com/blogs/aws/new-cross-account-copying-of-encrypted-ebs-snapshots/

“目标帐户 - 在目标账户的IAM用户或角色需要能够执行DescribeKey，CreateGrant，以及与原始快照相关联的密钥解密操作的用户。或角色还必须能够对与CopySnapshot调用相关联的密钥执行CreateGrant，Encrypt，Decrypt，DescribeKey和GenerateDataKeyWithoutPlaintext操作。“

另外，我相信这是你在找什么：https://aws.amazon.com/blogs/security/how-to-create-a-custom-ami-with-encrypted-amazon-ebs-snapshots-and-share-it-with-other-accounts-and-regions/