Сценарий: один из наших скриптов использует boto3 kms api для PUT и GET параметров SSM с шифрованием и дешифрованием KMS. SSM param put работает отлично, и параметры добавляются (с расшифровкой как true) с защищенной строкой в хранилище параметров SSM EC2. Проблема, с которой мы сталкиваемся, заключается в попытке получить значения параметров SSM с расшифровкой как истинные. Соответствующий лямбда-код, запускающий этот сценарий, выдает следующую ошибку при попытке запустить следующий сценарий boto3 (при запуске get_ssm_parameters_by_path):
session = boto3.Session()
ssm_client = session.client('ssm', 'us-east-1')
ssm_parameters = []
response = ssm_client.get_parameters_by_path(
Path=self.ssm_parameter_path,
Recursive=True,
WithDecryption=True
)
ОШИБКА: произошла ошибка (AccessDeniedException) при вызове операции GetParametersByPath: зашифрованный текст относится к главному ключу клиента, который не существует, не существует в этом регионе или вам не разрешен доступ. (Сервис: AWSKMS; Код состояния: 400; Код ошибки: AccessDeniedException; Идентификатор запроса: eaaxx-7ae7-11e8-97xx5e-b9exxxxxxx410): ClientError
Я просмотрел различные документы AWS по работе с шифрованием и дешифрованием KMS и обновил свой документ политики, как показано ниже, но пока мне не повезло. Роль, которую использует лямбда, имеет следующий доступ к политике:
{
"Sid": "AllowSSMAccess",
"Effect": "Allow",
"Action": ["kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"],
"Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>",
"Condition": {
"StringEquals": {
"kms:ViaService": "ssm.us-east-1.amazonaws.com",
"kms:CallerAccount": "AWS_ACCOUNT_NUMBER"
}
}
},
{
"Sid": "AllowKeyMetadata",
"Effect": "Allow",
"Action": ["kms:Describe*", "kms:Get*", "kms:List*"],
"Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>"
},
{
"Sid": "KeyAccess",
"Effect": "Allow",
"Action": [
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Get*",
"kms:TagResource"
],
"Resource": "arn:aws:kms:us-east-1:AWS_ACCOUNT_NUMBER:key/<aws/ssm default key id>"
}
Где AWS_ACCOUNT_NUMBER - это номер моей учетной записи AWS, а идентификатор ключа kms - это ключ "aws / ssm" по умолчанию для шифрования и дешифрования параметра SSM. Ключ действительно существует в учетной записи. Мы указываем регион "us-east-1", так что это нормально 0. Последняя часть ошибки говорит «или у вас нет доступа».
Я вижу, что параметр доступен в хранилище параметров SSM EC2 и правильно расшифрован с помощью идентификатора KEY ID, который я использую для расшифровки.
Какой еще доступ к политике или добавление нам необходимо выполнить, чтобы успешно запустить "get_parameters_by_path".