別アカウントにAuroraをクローンさせたい

3547 ワード

Aurora kms AWS AWS テキストリンク

概要

他のアカウントのユーザーに CMK の使用を許可するに基本的にかいてあるが、オプショナルな記述が混ざっていてわかりにくかったのでまとめる。

状況

移行元A 111122223333

RDS Aurora
- DB クラスター設定から、移行先BのAWSアカウントID 444455556666 を入力
KMS CMK
- CMKポリシー後述

移行先B 444455556666

Resource Access Manager
- 承認するだけ
IAM
- IAMポリシー後述

移行元A: CMKポリシー

ここに移行先BのAWSアカウントID 444455556666 を入力。

これだけでOK。アクセス制限は移行先BのIAMポリシーでやる。

移行先B: IAMポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "arn:aws:kms:ap-northeast-1:111122223333:key/キー"
        }
    ]
}

Auroraの暗号化キーとして使うには、CreateGrant なども必要だった。
厳密には、もっと削れると思う。

Author And Source

この問題について(別アカウントにAuroraをクローンさせたい), 我々は、より多くの情報をここで見つけました https://qiita.com/DianthuDia/items/5b942f410f296c738484

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .