如何跨多个 AWS 账户共享我的客户主密钥 (CMK)?

上次更新时间:2019 年 10 月 14 日

我想要安全地授予另一个 AWS 账户访问我的客户主密钥 (CMK) 的权限,以便用于在该账户上加密和解密数据。共享我的 CMK 的最佳方式是什么?

解决方法

要授予另一个账户访问 CMK 的权限,请在第二个账户上创建一个 IAM 策略,以授权使用 CMK。有关说明,请参阅允许其他账户中的用户使用 CMK

您还可以使用自动监控工具来监控您的 CMK。

注意:最佳实践是授予资源的最低访问权限,尤其是与不属于您的账户共享权限时。