问题描述
我注意到在以下两种情况下:
- S3 -
PutObject
到加密存储桶。 - SQS -
SendMessage
到加密队列。
我需要有 kms:Decrypt
权限(除了 kms:GenerateDataKey
权限),否则会抛出“未授权”异常。
为什么会这样?
解决方法
来自 AWS:
调用 kms:Decrypt 是为了在使用前验证新数据密钥的完整性。因此,生产者必须拥有客户主密钥 (CMK) 的 kms:GenerateDataKey 和 kms:Decrypt 权限。