从S3到SQS的加密存储桶通知

时间:2020-05-04 23:00:12

标签: amazon-web-services amazon-s3 amazon-sqs aws-kms

如何在SQS中的队列和队列上均使用KMS的队列中设置S3桶通知?

  • 我在S3中有一个存储桶,其中的内容使用AWS托管密钥(aws/s3默认密钥)进行了加密。
  • 我在启用SSE(服务器端加密)但使用CMK(客户管理密钥)的SQS中有一个队列。

当我进入S3 Web控制台并尝试在发送到SQS队列中的存储桶中添加通知事件时,会看到以下错误消息:

无法验证以下目标配置。无法使用KMS对发送到SSE队列的消息进行加密。 (arn:aws:sqs:ca-central-1:...:...)

我已经尝试配置我的KMS密钥策略以向S3服务帐户授予所需的权限。

        {
            "Sid": "Let S3 encrypt messages so that bucket notifications can be encrypted",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Encrypt"
            ],
            "Resource": "*"
        },

要允许将存储桶通知发送到加密队列,我需要做什么?

1 个答案:

答案 0 :(得分:3)

根据documentation,第二个操作应该是kms:Decrypt,而不是kms:Encrypt

相关问题
最新问题