#amazon-web-services #ansible #amazon-kms
Вопрос:
У меня есть KMS в aws, который мне нужен для получения данных из сценария ansible. Сценарий такой, как показано ниже,
name: encryption key
hosts: localhost
connection: local
tasks:
- name: get kms
community.aws.aws_kms_info:
filters:
"tag:Name": kms-key
Тег добавляется в KMS как Имя = kms-ключ, и ключ имеет тип SYMMETRIC_DEFAULT. Я получаю сообщение об ошибке, говорящее
ClientError: An error occurred (AccessDeniedException) when calling the DescribeKey operation: User: arn:aws:iam::1234567:user/devRange is not authorized to perform: kms:DescribeKey on resource: arn:aws:kms:us-east-2:1234567:key/34343423444545
Проблема в том, что ресурс, указанный в ошибке, не является ключом kms, от которого я хочу получить информацию. Тег(kms-ключ) находится в другом kms. Нужно ли иметь разрешение на все ключи kms в учетной записи, чтобы я мог извлекать данные из определенных kms. kms: DescribeKey Разрешение предоставляется пользователю, который извлекает данные из kms.
Комментарии:
1.
kms:DescribeKeyэто ключевое разрешение политики, а не IAM. Проверьте, разрешает ли политика ключей для этого конкретного ключа это действие: docs.aws.amazon.com/kms/latest/developerguide/key-policies.html