如何在多个 AWS 账户之间共享 AWS KMS 密钥?

上次更新时间:2021 年 8 月 26 日

我想要安全地授予另一个 AWS 账户访问我的 AWS KMS 密钥的权限,以便用于在该账户上加密和解密数据。共享 KMS 密钥的最佳方式是什么?

解决方法

要授予另一个账户访问 KMS 密钥的权限,请在二级账户上创建一个 IAM 策略,以授权使用 KMS 密钥。有关说明,请参阅允许其他账户中的用户使用 KMS 密钥

您还可以使用自动监控工具来监控您的 KMS 密钥。

注意:最佳实践是授予对资源的最低访问权限,尤其是与不属于您的账户共享权限时。