amazon-s3 - 跨账户解密的 KMS 密钥策略疑难解答

问题描述

我有两个帐户，一个主帐户和一个用于记录的子帐户。我的目标是将 CloudTrail 日志从主帐户发送到日志记录帐户中的 s3 存储桶。此时，我已将 CloudTrail 日志配置为指向日志帐户中的 s3 存储桶。问题是它们没有经过 KMS 加密。使用以下语句修改了日志记录帐户中的 KMS 密钥策略

{
            "Sid": "EnableCloudTrailLogDecryptPermissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:ReEncryptFrom",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "organization_id"
                }
            }
        }

我根据本文档中的建议创建了一个客户管理的密钥。

预期：在日志记录帐户中创建此密钥后，我应该能够在 CloudTrail 配置的这一部分中将其添加到 CloudTrail。

但是，我收到错误You don't have adequate permissions in S3 to perform this operation. 消息 The specified AWS KMS key was not found in the same region as the target S3 bucket.` 任何有关此问题的帮助将不胜感激。

标签： amazon-s3amazon-cloudtrail