标签: aws-kms
KMS允许您授予对其他帐户中密钥的访问权限,以执行诸如Encrypt,Decrypt和GenerateDataKey之类的操作。同时,kms:ListAliases文档指出:“您不能在其他帐户中列出别名。”如果我可以使用与其他操作相同的机制来授予另一个帐户的根来授予ListAliases的能力,那就太好了。 (显然,这将需要在ListAliases中添加一个新字段,例如“ AccountArn”,该字段将默认为当前帐户。)从事KMS工作的任何人都知道该限制背后的想法是什么?