我目前正在尝试添加两个AWS SAM策略模板KMSDecryptPolicy&KMSEnecryptPolicy到我的配置yml,但KMS密钥在另一个帐户中,我需要跨帐户访问才能做到这一点。
然而,当使用上述策略模板时,我只能传递KeyId,而不能传递作为占位符变量的AWS帐号。
我正在尝试使用AWS SAM策略模板来完成此操作。
如有任何支持,不胜感激。
这是我目前政策的一个例子。
Policies:
- arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole
- DynamoDBCrudPolicy:
TableName: !Ref InvoiceFeaturesTable
- S3CrudPolicy:
BucketName: !Ref InvoiceFeaturesBucket
示例代码
KMSDecryptPolicy和KMSEnecryptPolicy都使用默认为当前AWS帐户的${AWS::AccountId},您不能通过策略模板覆盖它。您只能通过KeyId:参考
您可以简单地将策略模板作为内联策略复制到SAM模板中,并根据需要进行修改。参考