我正在尝试将AWS Elasticsearch与“ Encrytion at Rest”一起使用。我在AWS的Elasticsearch服务中创建Elasticsearch域时配置了此设置。
让我们考虑有两个名为A和B的用户。 我创建了KMS访问策略,其中
-
用户A有权执行es:*和kms:*操作
-
用户B只能执行es:,而不能执行kms:。
在这里, 当ES Client执行索引并以用户A的身份搜索某些数据时,它将起作用。 当ES Client执行索引并以用户B身份搜索某些数据时,它也可以工作。但是我希望这会失败,因为用户B无法访问kms:encrypt或kms:decrypt和其他kms操作。
任何线索都将不胜感激。