#amazon-web-services #aws-kms
#amazon-веб-сервисы #amazon-kms
Вопрос:
Я впервые возился с AWS SES и позволил сервису создать несколько ключей шифрования по умолчанию для новой организации для шифрования электронных писем. Однако, когда я удалил эту организацию, ключи остались. Теперь я не могу запланировать их удаление, потому что у меня нет необходимых разрешений, даже если я подписан как пользователь root. Вот текущая политика для этих ключей:
{
"Version": "2012-10-17",
"Id": "auto-ses-2",
"Statement": [
{
"Sid": "Allow SES to encrypt messages belonging to this account",
"Effect": "Allow",
"Principal": {
"Service": "ses.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:ses:source-account": "915144628597"
},
"Null": {
"kms:EncryptionContext:aws:ses:rule-name": "false",
"kms:EncryptionContext:aws:ses:message-id": "false"
}
}
},
{
"Sid": "Allow SES to describe this key",
"Effect": "Allow",
"Principal": {
"Service": "ses.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow direct access to key metadata amp; decryption to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::915144628597:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:Decrypt",
"kms:ReEncryptFrom"
],
"Resource": "*"
}
]
}
Как вы можете видеть, учетная запись root не имеет разрешения ни планировать удаление ключа, ни даже устанавливать новую политику использования ключа. Итак, насколько я могу судить, у меня буквально нет способа удалить эти ключи. Вся документация и предыдущие сообщения, которые я смог найти по этому вопросу, предполагают, что пользователь сам создал ключ, чего я не делал. Итак, я подумал, что хотел бы спросить сообщество о предложениях, прежде чем возиться с отправкой запроса в службу поддержки клиентов. Мы высоко ценим вашу помощь!
Комментарии:
1. Кто-нибудь? Мысли??
2. Как вы создали этот ключ? Вручную или с помощью CloudFormation? Как правило, KMS требует, чтобы вы добавили администратора ключа при создании этого ключа, чтобы снизить риск того, что ключ станет неуправляемым.