问题描述
我们有 EBS cmk,用于加密 EMR EC2 实例的根卷。
ebs-cmk 的政策如下
"Effect": "Allow","Principal": {
"AWS": "arn:aws:iam::111122223333:role/emr-instance-role"
},"Action": "kms:*","Resource": "*","Condition": {
"StringEquals": {
"kms:ViaService": [
"ec2.eu-west-1.amazonaws.com"
根据上述政策,我收到错误消息,角色“emr-instance-role”没有 kms:Generatedatakey 的权限
当我从上述政策中删除条件时,它工作正常。
我的安全团队不允许无条件的策略。如何在此处添加条件并且它不适用条件?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)