amazon-web-services - 具有管理员权限的 IAM 用户能够使用未在其密钥策略中将此用户添加为密钥用户的密钥加密 EBS 卷
问题描述
我有 2 个 IAM 用户(A 和 B)都具有管理员访问权限。以“A”身份登录后,我在 KMS 中创建了一个 CMK,并仅将“A”指定为“密钥管理员”和“密钥用户”。但是,当我以“B”身份登录并尝试使用“A”创建的 CMK 创建加密卷时,我仍然可以继续创建卷。我什至可以在以“B”身份登录时禁用密钥。
当“B”未在密钥策略中添加为密钥用户时,它怎么可能仍然能够使用密钥对卷进行加密?我在这里错过任何概念吗?
解决方案
您是否检查过卷是否最终创建并且健康/工作正常?
根据https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html:
AWS 对 CMK 进行异步身份验证。因此,如果您指定的 ID、别名或 ARN 无效,则该操作可能看似完成,但最终会失败。
还要检查 kms 密钥策略权限并查看授予了哪些访问权限。
推荐阅读
- javascript - 在 Reactjs 中编写类组件方法时出现语法错误
- android - 如何在 nativescript 中实现父母门
- reactjs - React.js material-ui:用逗号屏蔽时是否可以对数量进行排序?
- javascript - Chrome 扩展 - 在 background.js 中需要什么
- ruby-on-rails - RSpec 404 测试响应状态为 200
- javascript - 根据多个属性过滤 N 级嵌套对象数组
- c++ - QMessage::question(),对话框应该是模态的,但有时不是,对话框显示在主窗口下
- node.js - 打字稿,路径别名与我的项目根目录之外的文件夹
- javascript - 在 Javasript 中打开或关闭多个灯
- zsh - zsh:我需要关闭文件描述符吗?