源账号

创建KMS用户管理密钥

创建EC2、AMI

创建EC2 EBS时使用创建的KMS密钥

登录服务器创建测试数据

创建快照

配置IAM用户或角色 AMI共享权限

源账户中的 IAM 用户或角色需要共享 AMI 的权限(EC2 ModifyImageAttribute

设置AMI共享其他账户

目标账号

为目标账户创建策略

配置目标账户。目标账户中的 IAM 用户或角色需要能够在 cmkSource 上执行 AWS KMS DescribeKeyCreateGrantReEncrypt*Decrypt 作,以便从共享加密的 AMI 启动实例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ReEncrypt*",
                "kms:CreateGrant",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:xxxx:key/09d8aba5-25e0-41d2-86b6-1f2aaa138923"
            ]                                                    
        }
    ]
}

启动实例