我正在尝试将 AWS Elasticsearch 与“静态加密”结合使用。我在 AWS 的 Elasticsearch 服务中创建 Elasticsearch 域时配置了此设置。
假设有两个用户 A 和 B。 我创建了 KMS 访问策略,其中
用户 A 有权执行 es:* 和 kms:* 操作
用户 B 仅有权执行 es:,但无 kms: 操作。
在这里, 当 ES Client 以用户 A 的身份进行索引和搜索一些数据时,就可以工作了。 当 ES Client 正在执行索引并以用户 B 的身份搜索一些数据时,那么它也可以工作。但我希望这会失败,因为用户 B 无权访问 kms:encrypt 或 kms:decrypt 和其他 kms 操作。
任何线索将不胜感激。
最佳答案
“静态加密”与其说是基于用户的功能,不如说是一种系统功能。用于静态加密的 IAM 角色更多地适用于服务,并不意味着用作用户的访问控制。
希望这能消除这里的困惑。
关于amazon-web-services - 静态加密 : AWS Elasticsearch,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58708510/