本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 共用用於加密共用 Amazon EBS 快照的 KMS 金鑰 當您共用加密快照時,您也必須共用加密該快照時所用的客戶受管金鑰。您可以在建立客戶受管金鑰時,為其套用跨帳戶許可,或之後再套用。 存取加密快照的共用客戶受管金鑰使用者必須獲得許可,才可對金鑰執行下列動作: + `kms:DescribeKey` + `kms:CreateGrant` + `kms:GenerateDataKey` + `kms:GenerateDataKeyWithoutPlaintext` + `kms:ReEncrypt` + `kms:Decrypt` **提示** 若要遵循最低權限原則人,請勿允許 `kms:CreateGrant` 的完整存取。反之,使用 `kms:GrantIsForAWSResource`條件金鑰來允許使用者在 KMS 金鑰上建立授予,前提是授予是由 AWS 服務代使用者建立。 如需控制客戶受管金鑰存取的詳細資訊,請參閱 [AWS KMS開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)中的*在AWS Key Management Service 中使用金鑰政策*。 **使用 AWS KMS 主控台共用客戶受管金鑰** 1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。 1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。 1. 選擇導覽窗格中的 **Customer managed keys (客戶受管金鑰)**。 1. 在 **(Alias) 別名**資料欄中,選擇用來加密快照的客戶管理金鑰別名 (文字連結)。重要詳細資料會在新頁面開啟。 1. 在 **Key policy (金鑰政策)** 區段中,您會看到 *policy view (政策檢視)* 或 *default view (預設檢視)*。原則檢視會顯示重要的政策文件。預設檢視會顯示 **Key administrators** (金鑰管理員)、**Key deletion** (金鑰刪除)、**Key Use** (金鑰使用) 和 **Other AWS accounts** (其他 AWS 帳戶) 的區段。如果已在主控台中建立政策,但尚未自訂政策,則會顯示預設檢視。如果無法使用預設檢視,則需要在政策檢視中手動編輯政策。如需詳細資訊,請參閱*AWS Key Management Service 開發人員指南*中的 [檢視金鑰政策 (主控台)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html#key-policy-viewing-console)。 根據您可以存取的檢視,使用政策檢視或預設檢視,將一或多個 AWS 帳戶 IDs 新增至政策,如下所示: + (政策檢視) 選擇 **Edit (編輯)**。將一或多個 AWS 帳戶 IDs 新增至下列陳述式: `"Allow use of the key"`和 `"Allow attachment of persistent resources"`。選擇**儲存變更**。在下列範例中, AWS 帳戶 ID `444455556666` 會新增至政策。 ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:user/KeyUser", "arn:aws:iam::444455556666:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ``` + (預設檢視) 向下捲動至**其他 AWS 帳戶**。選擇**新增其他 AWS 帳戶**,然後根據提示輸入 AWS 帳戶 ID。若要新增另一個帳戶,請選擇**新增另一個 AWS 帳戶**,然後輸入 AWS 帳戶 ID。新增所有 AWS 帳戶之後,選擇 **Save changes** (儲存變更)。