Я пытаюсь настроить репликацию зашифрованных объектов в корзину S3 в другом регионе. При этом мне нужно будет указать один или несколько ключей KMS, которые будут использоваться для расшифровки объекта source.
Я использую следующий скрипт Terraform:
replication_configuration {
role = "${aws_iam_role.replication.arn}"
rules {
id = "${var.service}"
prefix = "${var.replication_bucket_prefix}"
status = "Enabled"
destination {
bucket = "${aws_s3_bucket.replication_bucket.arn}"
storage_class = "STANDARD"
replica_kms_key_id = "xxxxx"
}
source_selection_criteria {
sse_kms_encrypted_objects {
enabled = true
}
}
}
}
Этот скрипт работает (он применяется), но при проверке в консоли AWS ключи KMS для исходного объекта не выбираются.
Глядя на конфигурацию, я не вижу нигде, чтобы указать эти ключи. replica_kms_key_id
указывает ключ KMS, который будет использоваться для шифрования объектов в корзине назначения.