Je tente de copier une AMI d'un compte AWS vers un autre et de le chiffrer avec une clé CMK dans le compte cible.Autorisations AWS requises pour copier et chiffrer l'AMI
La politique clé du CMK est:
{
"Version": "2012-10-17",
"Id": "key-default",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::TARGET-ACCOUNT-NUMBER:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
J'ai créé un rôle dans le compte cible avec la politique suivante:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:GenerateDataKey",
"kms:DescribeKey",
"kms:Encrypt",
"ec2:CopyImage"
],
"Resource": "*"
}
]
}
joint également à ce rôle est la politique AmazonEC2ReadOnlyAccess
.
Si je me connecte au compte root et que j'assume le rôle dans le compte cible, puis que j'essaie de copier l'AMI avec ma clé CMK, cela échoue avec Snapshot snap-abc123xyz is in an unexpected state: error
. Il n'y a pas d'informations supplémentaires sur l'instantané pour indiquer la cause première.
Si j'attache la stratégie AdministratorAccess
au rôle que l'AMI copie correctement, il doit s'agir d'un problème d'autorisations.
Quelqu'un peut-il fournir la liste des autorisations requises pour copier une AMI avec cryptage?