Блог

У нас есть 6 учетных записей в нашей контрольной башне AWS, и я не хочу перечислять каждую из этих учетных записей в приведенном ниже коде.Есть ли у меня способ написать код, позволяющий cloudtrail в этих учетных записях использовать этот KMS-cmk?.Что мне нужно добавить в приведенный ниже код, чтобы разрешить cloudtrail в других учетных записях использовать мой KMS-CMK? заранее большое вам спасибо

{ «Сида»: «включить политики IAM», «эффект»: «разрешить», «Принципал»: { «АРМ»: «Арн:АРМ:в IAM::${aws_account_id}:корневой» }, «действие»: «км:«, «ресурс»: «» }, { «Сида»: «разрешить cloudtrail, чтобы шифровать журналы», «эффект»: «разрешить», «Принципал»: { «сервис»: «cloudtrail.amazonaws.com» }, «Действие»: «км:GenerateDataKey*», «ресурс»: ««, «состояние»: { «StringLike»: { «км:EncryptionContext:АРМ:сервис cloudtrail:Арн»: «Арн:АРМ:сервис cloudtrail::${aws_account_id}:след/» } } }, { «Сида»: «cloudtrail и разрешить доступ», «эффект»: «разрешить», «Принципал»: { «сервис»: «сервис cloudtrail.amazonaws.com» }, «действие»: «км:DescribeKey», «ресурс»: «» }, { «Сида»: «включить cloudtrail и войти расшифровать разрешения», «эффект»: «разрешить», «Принципал»: { «АРМ»: «Арн:АРМ:в IAM::${aws_account_id}:корневой» }, «действие»: «км:расшифровывать», «ресурс»: «*», «состояние»: { «нуль»: { «км:EncryptionContext:АРМ:сервис cloudtrail:Арн»: «ложь» } } }, { «Сида»:»разрешить администрации ключа», «эффект»: «разрешить», «Принципал»: {«АРМ»: «Арн:АРМ:в IAM::${aws_account_id}:корневой»}, «действие»: [