amazon-web-services - CloudFormation 拒绝以最小权限创建 AWS::KMS::Key

Question

努力将最小权限原则应用于我正在创建的 CMK，目标是创建一个可通过 StackSets 供整个组织使用的 CloudFormation 模板。因此，我想要一个可用于帐户中一般加密任务的 key ( kms:Encrypt 、 kms:Decrypt 等)，但不能由帐户中的主体修改(特别是 kms:PutKeyPolicy 但不仅如此) .

我有一个从手工制作的 key 中提取出来的工作策略。 CloudFormation 模板工作正常，StackSet 启动资源创建。

但是仅当我不以任何条件限制帐户主体时，这会消除最小权限原则。 CreateKey 和 PutKeyPolicy API 调用都有一个选项 BypassPolicyLockoutSafetyCheck对于我们这些白痴到认为自己更了解的人来说!除了 CloudFormation 不会公开 AWS::KMS::Key 的内容:(

因此，除非我基本上将关键策略保持开放状态，否则我会在堆栈中收到以下错误:

Resource handler returned message: "The new key policy will not allow you to update the key policy in the future. (Service: Kms, Status Code: 400, Request ID: xxxx, Extended Request ID: null)" (RequestToken: xxxx, HandlerErrorCode: InvalidRequest)

我已经为主体尝试了多种选项，其中 Condition 删除(如下) key 已创建，但没有高兴。

- Sid: AllowUpdatesByCloudFormation
          Effect: Allow
          Principal:
            AWS: !Sub "arn:aws:iam::${AWS::AccountId}:root"
          Action:
          - kms:Describe*
          - kms:List*
          - kms:PutKeyPolicy
          - kms:CreateAlias
          - kms:UpdateAlias
          - kms:UpdateKeyDescription
          - kms:EnableKey
          - kms:DisableKey
          - kms:EnableKeyRotation
          - kms:DisableKeyRotation
          - kms:GetKey*
          - kms:DeleteAlias
          - kms:TagResource
          - kms:UntagResource
          - kms:ScheduleKeyDeletion
          - kms:CancelKeyDeletion
          Resource: '*'
          # Condition:
          #   StringEquals:
          #     "aws:PrincipalAccount": !Sub ${AWS::AccountId}
          #     "kms:ViaService": !Sub "cloudformation.${AWS::Region}.amazonaws.com"

我尝试过不同的主要设置，包括 AWS: "*"还有一些不同的Service Condition 上的选项和不同设置。我尝试过在服务名称中包含或不包含区域。我肯定漏掉了一些东西，但我已经花了几个小时来思考这个问题。

网络搜索、AWS 论坛搜索一无所获，所以我希望 StackOverflow 的好心人能够指导我 - future 我也会寻求同样的帮助:)

似乎无法链接到 AWS KMS API 页面上的表部分以获取 CreateKey or PutKeyPolicy 上的条件键。但我不认为我错过了这些技巧？

提前致谢 - 罗伯特。

Answer 1

尝试授予 root 用户所有 kms 权限 - (kms:*)授予 root 所有访问权限时，最小权限原则仍然适用。

这将启用 IAM 用户权限。

向每个角色、用户或用户组添加其他策略。添加 key 管理策略。添加使用策略。您可以在此处微调您的访问权限。

尝试使用这个关键策略并对其进行调整。这是我在 cfn 堆栈中用于 RDS 加密的 key 。(是的!我知道策略应该应用于用户组，而不是直接应用于最佳实践的用户......但这是在我可以从“aCloud guru”访问的沙箱环境内)

  KeyPolicy:
    Id: key-consolepolicy-3
    Version: "2012-10-17"
    Statement:
      - Sid: Enable IAM User Permissions
        Effect: Allow
        Principal:
          AWS: !Sub "arn:aws:iam::${AWS::AccountId}:root"
        Action: kms:*
        Resource: '*'
      - Sid: Allow access for Key Administrators
        Effect: Allow
        Principal:
          AWS:
            - !Sub "arn:aws:iam::${AWS::AccountId}:role/admin"
            - !Sub "arn:aws:iam::${AWS::AccountId}:user/cloud_user"
        Action:
          - kms:Create*
          - kms:Describe*
          - kms:Enable*
          - kms:List*
          - kms:Put*
          - kms:Update*
          - kms:Revoke*
          - kms:Disable*
          - kms:Get*
          - kms:Delete*
          - kms:TagResource
          - kms:UntagResource
          - kms:ScheduleKeyDeletion
          - kms:CancelKeyDeletion
        Resource: '*'
      - Sid: Allow use of the key
        Effect: Allow
        Principal:
          AWS: !Sub "arn:aws:iam::${AWS::AccountId}:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS"
        Action:
          - kms:Encrypt
          - kms:Decrypt
          - kms:ReEncrypt*
          - kms:GenerateDataKey*
          - kms:DescribeKey
        Resource: '*'
      - Sid: Allow attachment of persistent resources
        Effect: Allow
        Principal:
          AWS: !Sub "arn:aws:iam::${AWS::AccountId}:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS"
        Action:
          - kms:CreateGrant
          - kms:ListGrants
          - kms:RevokeGrant
        Resource: '*'
        Condition:
          Bool:
            kms:GrantIsForAWSResource: "true"