我试图避免在AWS EC2实例上运行的python应用程序中对AWS'KMS密钥进行硬编码。 AWS EC2实例分配有IAM角色,其中定义了对特定KMS密钥的访问。实例无法访问列出帐户中的所有KMS密钥,但只能访问一个。 有没有办法获得它可以从应用程序访问的KMS密钥名称(使用boto3?) KMS Key IAM角色定义如下所示:
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GetKeyPolicy",
"kms:GetKeyRotationStatus",
"kms:GetParametersForImport",
"kms:ListAliases",
"kms:ListGrants",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListResourceTags",
"kms:ListRetirableGrants"
],
"Resource": [
"arn:aws:kms:xx-xxxx-x:xxxxxxxx:key/yyyy-yyy-yyyy-yyyy-yyyy"
]