问题描述
调用 UpdateUserPool 操作时发生错误 (NotAuthorizedException):调用方需要对提供的 KMS 密钥具有 kms:CreateGrant 权限
aws cognito-idp update-user-pool --user-pool-id {user_pool_id} --lambda-config "CustomEmailSender={LambdaVersion=V1_0,LambdaArn= lambda-arn },KMSKeyID=key-arn"
解决方法
可能存在以下两个问题之一:
- 您已将默认 KMS 密钥策略应用于
key-arn
KMS 密钥,但尚未向应用于运行该命令的用户/委托人的 IAM 策略分配kms:CreateGrant
权限。 - 您尚未为在
kms:CreateGrant
KMS 密钥的 KMS 密钥策略中运行命令的主体应用key-arn
权限。