AWS KMS - 为什么在尝试加密数据时需要“kms:Decrypt”权限?

编程问答 2022-05-22

问题描述

我注意到在以下两种情况下:

  1. S3 - PutObject 到加密存储桶。
  2. SQS - SendMessage 到加密队列。

我需要有 kms:Decrypt 权限(除了 kms:GenerateDataKey 权限),否则会抛出“未授权”异常。

为什么会这样?

解决方法

来自 AWS:

调用 kms:Decrypt 是为了在使用前验证新数据密钥的完整性。因此,生产者必须拥有客户主密钥 (CMK) 的 kms:GenerateDataKey 和 kms:Decrypt 权限。

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html#sqs-what-permissions-for-sse

amazon-kmsamazon-s3amazon-sqsamazon-web-servicesencryption

相关问答

matplotlib报错:AttributeError: module 'backend_interagg' has no attribute 'FigureCanvas'. Did you mean: 'FigureCanvasAgg'?
使用本地python环境可以成功执行 import pandas as pd impor...
gitlab登录失败,报错:This challenge page was accidentally cached by an intermediary and is no longer available.
设置时间 控制面板
后端开发常见错误
错误1:Request method ‘DELETE‘ not supported 错误还原:...
docker常见错误
错误1:启动docker镜像时报错:Error response from daemon:...
idea常见错误
错误1:private field ‘xxx‘ is never assigned 按Alt...
pip安装依赖失败
报错如下,通过源不能下载,最后警告pip需升级版本 Requirem...