gpt4 book ai didi

amazon-web-services - 带有 KMS 的 S3 默认 SSE 仍然需要 aws-cli 的参数

转载 作者:行者123 更新时间:2023-12-04 08:06:00 24 4
gpt4 key购买 nike

我已经创建了一个 S3 存储桶并将默认 SSE 配置为使用 KMS。

如果我传递了 --sse aws:kms 标志,我可以使用 aws-cli 将文件上传到存储桶,例如:
aws s3 cp --sse aws:kms test.txt s3://my-bucket

但我希望它在没有 --sse aws:kms 标志的情况下工作,因为这是默认加密,即它应该在没有指定加密 header 时应用。

当我在没有 header 的情况下尝试时,它失败了:
aws s3 cp test.txt s3://我的桶

upload failed: ./test.txt to s3://my-bucket/test.txt 调用PutObject操作时发生错误(AccessDenied):Access Denied

如果我从使用 AWS KMS 改为使用 S3 管理的 SSE,它可以在没有任何 --sse 标志的情况下工作,但我需要使用 AWS KMS。我已尝试向发出请求的 IAM 用户添加以下策略,但它仍然失败:
{
"版本": "2012-10-17",
“陈述”: [
{
"Sid": "VisualEditor0",
"效果": "允许",
“行动”: [
“s3:*”,
“公里:*”
],
“资源”:[
“arn:aws:s3:::我的桶”,
“arn:aws:s3:::我的桶/*”,
“arn:aws:kms:eu-west-2:1111112222:key/aaaabbbb-1122-2222-4444-eeeeff3333”
]
}
]
}

我缺少什么才能让它正常工作?

最佳答案

这只是因为您的 KMS key 策略没有指定您用于执行上传的用户/角色可以针对 key 执行 GenerateDataKey、加密和解密。

将其添加到您的关键策略(将您自己列为关键用户),它应该会起作用。

关于amazon-web-services - 带有 KMS 的 S3 默认 SSE 仍然需要 aws-cli 的参数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50290911/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com