別アカウントにAuroraをクローンさせたい
概要
他のアカウントのユーザーに CMK の使用を許可する に基本的にかいてあるが、オプショナルな記述が混ざっていてわかりにくかったのでまとめる。
状況
移行元A 111122223333
- RDS Aurora
- DB クラスター設定から、移行先BのAWSアカウントID
444455556666
を入力
- DB クラスター設定から、移行先BのAWSアカウントID
- KMS CMK
- CMKポリシー 後述
移行先B 444455556666
- Resource Access Manager
- 承認するだけ
- IAM
- IAMポリシー 後述
移行元A: CMKポリシー
ここに移行先BのAWSアカウントID 444455556666
を入力。
これだけでOK。アクセス制限は移行先BのIAMポリシーでやる。
移行先B: IAMポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "arn:aws:kms:ap-northeast-1:111122223333:key/キー"
}
]
}
Auroraの暗号化キーとして使うには、CreateGrant
なども必要だった。
厳密には、もっと削れると思う。
Author And Source
この問題について(別アカウントにAuroraをクローンさせたい), 我々は、より多くの情報をここで見つけました https://qiita.com/DianthuDia/items/5b942f410f296c738484著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .