Key Management Service

Können KMS-Multi-Region-Schlüssel außerhalb des eingerichteten Kontos verwendet werden?

Regionsübergreifende Schlüssel scheinen auf das Konto beschränkt zu sein,in dem sie bereitgestellt werden-Welche bewährten Verfahren gibt es für die Nutzung dieser Arten von Schlüsseln über mehrere Konten hinweg,ist es nur eine Frage der IAM-Berechtigungen?

Wie in der Dokumentation erwähnt , ist ein KMS-Schlüssel für mehrere Regionen „eine unabhängige KMS-Schlüsselressource mit eigener Schlüsselrichtlinie“. Daher können Sie eine Kombination aus Schlüsselrichtlinie und IAM -Richtlinie verwenden, um kontoübergreifenden Zugriff zuzulassen, wie auch in der Dokumentation angegeben . Beachten Sie, dass die Schlüsselrichtlinie auf jeden Schlüssel angewendet werden muss, da die regionalen Schlüssel unabhängige Ressourcen sind, und jede IAM-Richtlinie in einem anderen auf den vollständigen Satz von Schlüssel-ARNs in allen Regionen verweisen muss.