当我使用 SSE-KMS 运行 Amazon S3 分段上传时,为何需要 AWS KMS 密钥解密权限?

上次更新时间:2019 年 9 月 20 日

我想执行到 Amazon Simple Storage Service (Amazon S3) 的分段上传。此外,我想使用具有 AWS Key Management Service 中存储的密钥的服务器端加密 (SSE-KMS) 来运行分段上传。在针对 AWS KMS 密钥我所需要的其他权限中,我为何需要密钥 (kms:Decrypt) 的解密权限来执行分段上传?  

解决方法

要向 Amazon S3 分段上传,需要启动分段上传(上传部分),然后完成分段上传。在完成分段上传的过程中,各部分会进行组合。

如果您使用 SSE-KMS 启动分段上传,则所有上传的部分都会使用指定的 AWS KMS 密钥进行加密。由于这些部分已加密,必须先对其进行解密,然后再加以组合,才能完成分段上传。因此,当使用 SSE-KMS 分段上传至 Amazon S3 时,您必须具有 AWS KMS 密钥 (kms:Decrypt) 解密权限。

重要提示:除 kms:Decrypt 之外,确认您同时具有使用 AWS KMS 密钥的所有必要权限。有关更多信息,请参阅 AWS KMS API 权限:操作和资源参考


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助吗?