我在模板中尝试了以下资源:
SigningKey:
Type: AWS::KMS::Key
Properties:
Description: "Auth API signing key"
Enabled: true
# Grant all permissions for root account
KeyPolicy:
Version: "2012-10-17"
Id: "key-default-1"
Statement:
-
Sid: "Enable IAM User Permissions"
Effect: "Allow"
Principal:
- AWS: !Sub "arn:aws:iam::${AWS::AccountId}:root"
Action: "kms:*"
Resource: "*"
EnableKeyRotation: true
KeyUsage: SIGN_VERIFY
但这给出了一个错误:
操作失败,因为 CMK 的密钥用法值为 SIGN_VERIFY。若要执行此操作,"密钥用法"值必须为 ENCRYPT_DECRYPT。
也不清楚在哪里指定密钥类型(例如。RSA_2048
( 在文档中的模板中。
根据 AWS CloudFormation,您可以在KeySpec
字段中指定密钥类型。您还可以查看文档中当前支持的类型。此外,AWS KMS 不支持非对称 CMK 上的自动密钥轮换。对于非对称 CMK,请省略"启用密钥轮换"属性或将其设置为 false。 上面的文档还提供了创建可以参考的非对称 CMK 的示例。