Я пытаюсь сохранить зашифрованные данные в DynamoDB с помощью «Клиента шифрования Amazon DynamoDB для Java». Я также использую бессерверную структуру для развертывания своего приложения (некоторые функции Lamdba используют DynamoDB). Функции AWS Lamdba написаны на Kotlin.
У меня в serverless.yml
в разделе iamRoleStatements
(в разделе provider
) есть это:
- Effect: “Allow”
Action:
- “kms:GenerateDataKey”
Resource: “*”
Я думал, что этого должно быть достаточно, но я получаю эту ошибку, когда пытаюсь сохранить зашифрованные данные в DynamoDB:
com.amazonaws.services.kms.model.AWSKMSException: User: arn:aws:sts::120102300450:assumed-role/appname-username-eu-west-1-lambdaRole/appname-username-functionname is not authorized to perform: kms:GenerateDataKey on resource: arn:aws:kms:eu-west-1:120102300450:key/12d3f45c-6fff-0007-b123-5bfe5678e012 (Service: AWSKMS; Status Code: 400; Error Code: AccessDeniedException; Request ID: ...)
(буквенно-цифровые идентификаторы здесь запутаны, чтобы не раскрывать реальные данные)
Я также попытался добавить несколько других разрешений KMS, но это не помогло:
- Effect: "Allow"
Action:
- "kms:GenerateDataKey"
- "kms:GenerateDataKeyWithoutPlaintext"
- "kms:CreateAlias"
- "kms:CreateKey"
- "kms:Decrypt"
- "kms:Encrypt"
- "kms:EnableKey"
- "kms:UpdateAlias"
Resource: "*"
Таким образом, в этом случае не может быть достигнута вся цель «клиента шифрования Amazon DynamoDB для Java».
Чего здесь не хватает?