Amazon web services 使用CMK的SQS加密
我正在尝试从加密的SQS读取消息。对象落在S3存储桶->触发S3事件->发送给SQS的消息->SQS触发Lambda处理 我使用AWS管理的CMK实现了这一点。但是,我无法使用AWS拥有的CMK(例如alias/AWS/sqs)实现这一点 消息只是在飞行中进入消息中,而不调用Lambda函数 根据这里的AWS文档,如果您没有指定自定义CMK,AmazonSQS将使用AWS管理的CMK进行AmazonSQS。但我们不能附加任何针对AWS拥有的CMK的政策,例如Amazon web services 使用CMK的SQS加密,amazon-web-services,amazon-sqs,Amazon Web Services,Amazon Sqs,我正在尝试从加密的SQS读取消息。对象落在S3存储桶->触发S3事件->发送给SQS的消息->SQS触发Lambda处理 我使用AWS管理的CMK实现了这一点。但是,我无法使用AWS拥有的CMK(例如alias/AWS/sqs)实现这一点 消息只是在飞行中进入消息中,而不调用Lambda函数 根据这里的AWS文档,如果您没有指定自定义CMK,AmazonSQS将使用AWS管理的CMK进行AmazonSQS。但我们不能附加任何针对AWS拥有的CMK的政策,例如 { "Version": "2
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "<<service>>.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "*"
}]
}
我的问题是:是否可以在SQS上使用AWS拥有的CMK,并让Lambda函数能够从该队列中读取
上面的URL中有一个部分称为启用AWS服务之间的兼容性,如Amazon CloudWatch事件、Amazon S3和Amazon SNS以及加密队列
它提到将一项政策附加到CMK。但是,可以选择使用别名/aws/sqs。我想知道我是否遗漏了什么。我与AWS交谈过,KMS AWS托管密钥在这种情况下不起作用。我们无法更改KMS AWS托管密钥的密钥策略,因此在以下场景中不可能:S3 Bucket->Trigger S3 Event->Message sent to SQS->SQS triggers Lambda to Process 我使用KMS AWS客户管理密钥,它工作正常