Шифрование KMS — локальная разработка

Я создал ключи AWS KMS для шифрования/дешифрования. Доступ был предоставлен к конкретному, который может шифровать / дешифровать. Обычно я прикрепляю эту роль к своей лямбде, чтобы выполнять шифрование/дешифрование. Однако я запускаю код локально, он терпит неудачу, поскольку ключ KMS не кажется связанной ролью для авторизации операции. Можно ли использовать ключи KMS, сгенерированные для локальной разработки?


python java amazon-web-services aws-kms
person Punter Vicky    schedule 15.01.2019    source источник
comment
KMS зависит от региона. Вы указываете регион при доступе к ключу KMS? Также обе службы (KMS и служба (S3?) должны находиться в одном регионе. Ключи KMS не используются в разных регионах.   -  person John Hanley    schedule 16.01.2019
comment
Да, я предоставляю регион. Но ключу KMS был предоставлен доступ к определенной роли в учетной записи AWS. Однако, когда я запускаю свою локальную машину, я не вижу способа прикрепить эту роль для использования KMS. Тот же код отлично работает, если я разверну его как лямбду AWS и прикреплю к лямбде необходимую роль.   -  person Punter Vicky    schedule 16.01.2019
comment
Какова политика ключей KMS для ключа, который вы хотите использовать для шифрования/дешифрования? Добавьте это к своему вопросу, чтобы вы могли правильно отформатировать политику.   -  person John Hanley    schedule 16.01.2019
comment
В консоли KMS у вас есть доступ к ключу? Он находится под Key policy -> Key users.   -  person John Hanley    schedule 16.01.2019

Ответы (1)


arrow_upward
0
arrow_downward

Мы рекомендуем использовать разные KMS CMK для вашего стека разработки, а не для производственного стека.

Что касается того, почему вам отказывают в доступе, Джон прав; это будет потому, что пользователь/роль, которую вы используете локально, не имеет разрешений на использование ключа.

https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html

person mattsb42-aws    schedule 16.01.2019