Aws:EC2:ManagedKeyEncryptedAMI-AccountCopy
マネージド型キーで暗号化されたAMIをアカウント間でコピー
はじめに
・[マネージド型キー]で暗号化されたAMIをアカウント間でコピーする。
・コピーする過程で作成するコピー元のアカウントの[カスタマー管理型のキー]が削除されても、コピー先のAMIは影響を受けないようにしたい。
・コピー元:アカウントA、コピー先:アカウントBとして以下に説明する。
こんな感じでした。
アカウントAの手順
①カスタマー管理型のキー作成
Aws/KMS/キー作成-セッションマネージャを参考に、[カスタマー管理型のキー]を作成します。
②カスタマー管理型のキーにポリシーを追加
手順①で作成した[カスタマー管理型のキー]のキーポリシーに、以下の権限を追加する。
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{アカウントBのID}:root"
},
"Action": [
"kms:DescribeKey",
"kms:CreateGrant",
"kms:ReEncryptFrom"
],
"Resource": "*"
}
③AMIを作成
特段注意事項はありません、AMIを作成します。
④AMIをコピー
手順①で作成した[カスタマー管理型のキー]を指定してコピーします。
・送信先リージョン:コピー先のリージョン
・名前:好きな名前
・暗号化:チェックする
・マスターキー:手順①で作成した[カスタマー管理型のキー]
⑤イメージパーミッションの変更
・このイメージは現在:プライベートのまま
・AWSアカウント番号:アカウントBのアカウントIDを入力して、[アクセス許可の追加]をクリック
・パーミッションを作成するときは次の関連付けられたスナップショットに “ボリューム作成” パーミッションを追加する:チェックする
アカウントBの手順
⑥AMIをコピー
アカウントBの[マネージド型キー]を指定してコピーします。
・送信先リージョン:コピー先のリージョン
・名前:好きな名前
・暗号化:チェックする
・マスターキー:(デフォルト)aws/ebs
手順①で作成した[カスタマー管理型のキー]を削除等した場合の挙動
イメージを共有(イメージパーミッションの変更)したAMI
アカウントBでは
・EC2起動不可
・AMIコピー不可
アカウントBの[マネージド型キー]でコピーしたAMI
・EC2起動可能
・AMIコピー可能
Aws/EC2/ManagedKeyEncryptedAMI-AccountCopy.txt · 最終更新: 2022/06/03 by 127.0.0.1