我有一个用例,其中kms密钥将用于加密和解密数据。我如何确保只有特定的lambda才能使用AWS策略中的kms密钥。
在创建时,我尝试在kms关键策略中添加Lambda ARN,但看起来不允许这样做。
如何实现我的用例?
以下是步骤:
-
为Lambda创建IAM角色,无需附加任何权限。
-
在创建密钥时,为
Define key usage permissions
选择相同的选项。 -
将IAM角色附加到Lambda。
-
开始在Lambda中使用KMS密钥。
根据AWS KMS文件
控制台为对称CMK创建的默认密钥策略允许您选择IAM用户和帐户中的角色,以及外部AWS帐户,并使其成为关键用户。