mongodb - 无法将 AWS IAM 角色与 KMS 提供程序一起用于 MongoDB 客户端字段级加密？

问题描述

我正在使用 EC2实例配置文件凭证来允许 AWS EC2 实例访问其他 AWS 服务。

最近，我实施MongoDB Client-Side Field-Level Encryption了 AWS KMS 已用作 KMS 提供程序。CSFLE的MongoDB 文档提到 KMS 提供程序应该具有映射到 IAM 用户的密钥和访问密钥。

这样，我将不得不创建另一个 IAM 用户，然后单独维护这些凭证。一种更简单（也更安全）的方法是使用DefaultCredentialsProviderfromsoftware.amazon.awssdk:auth并且可以使用来自实例配置文件的凭据，该凭据可以授予对 KMS 的访问权限。但这对我不起作用，并且 MongoClient 失败，因为 KMS 拒绝使用的安全令牌。

不允许这种访问 KMS 的方式有什么原因吗？

标签： mongodbamazon-web-servicesamazon-iamspring-data-mongodbaws-kms