[KMS] kms: Decrypt on the resource associated with this ciphertext because no identiy-based policy allows the kms:Decrypt action

 

1. 발생에러 : 

kms: Decrypt on the resource associated with this ciphertext because no identiy-based policy allows the kms:Decrypt action

 

 

2.해결방안 :

KMS 키 정책은 역할에 대해 kms:Decrypt에 대한 액세스를 허용해야 합니다. 즉, 키 정책에 다음과 같은 내용이 있어야 합니다.

{
    "Sid": "Allow12345678",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678:root"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

 

그리고 IAM 역할은 kms:Decrypt 작업도 허용해야 합니다. 예를 들어, 다음과 같습니다.

{
    "Effect": "Allow",
    "Action": "kms:Decrypt",
    "Resource": "arn:aws:kms:eu-west-1:987654321:key/abcdef-def-def-fe-ss"
}

 

그렇지 않으면 다음 오류가 발생합니다. AccessDenied(클라이언트): 사용자: arn:aws:sts::12345678:assumed-role/xxx-role/474ce5ef81924893ad55740f8ab96872는 이 암호문과 연관된 리소스에서 kms:Decrypt를 수행할 권한이 없습니다. ID 기반 정책이 kms:Decrypt 작업을 허용하지 않기 때문입니다.

이는 S3 버킷 권한(및 리소스 기반 정책을 지원하는 다른 모든 AWS 서비스)에도 적용됩니다.