amazon-s3 - 跨账户解密的 KMS 密钥策略疑难解答
问题描述
我有两个帐户,一个主帐户和一个用于记录的子帐户。我的目标是将 CloudTrail 日志从主帐户发送到日志记录帐户中的 s3 存储桶。此时,我已将 CloudTrail 日志配置为指向日志帐户中的 s3 存储桶。问题是它们没有经过 KMS 加密。使用以下语句修改了日志记录帐户中的 KMS 密钥策略
{
"Sid": "EnableCloudTrailLogDecryptPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:ReEncryptFrom",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization_id"
}
}
}
我根据本文档中的建议创建了一个客户管理的密钥。
预期:在日志记录帐户中创建此密钥后,我应该能够在 CloudTrail 配置的这一部分中将其添加到 CloudTrail。
但是,我收到错误You don't have adequate permissions in S3 to perform this operation.
消息 The specified AWS KMS key was not found in the same region as the target S3 bucket.` 任何有关此问题的帮助将不胜感激。
解决方案
推荐阅读
- powershell - powershell浏览到文件路径
- python - 在 python 列表理解中获取索引值(在前面有变量)
- django - 反向外键模型形式
- c - 带回车符的 C 程序 \r
- javascript - 在 onclick javascript 效果之后,我可以在 css 中定位一个 :hover 函数吗?
- c# - 获取数组中的最高数字,然后在该数组中添加一个新值并使用前面的 +1 不起作用 - C#
- sql - 将 2 个单独列的总和与 SQL 语句进行比较
- python - matplotlib 中的多行动画
- python - 无法从python中的函数成功获取返回
- optaplanner - 为什么在调用 calculateScore 之前没有设置我的 PlanningVariables?