Блог

Главная - Вопросы по программированию - Не удается удалить ключ шифрования, созданный Amazon SES

Не удается удалить ключ шифрования, созданный Amazon SES

#amazon-web-services #aws-kms

#amazon-веб-сервисы #amazon-kms

Вопрос:

Я впервые возился с AWS SES и позволил сервису создать несколько ключей шифрования по умолчанию для новой организации для шифрования электронных писем. Однако, когда я удалил эту организацию, ключи остались. Теперь я не могу запланировать их удаление, потому что у меня нет необходимых разрешений, даже если я подписан как пользователь root. Вот текущая политика для этих ключей:

 {
  "Version": "2012-10-17",
  "Id": "auto-ses-2",
  "Statement": [
    {
      "Sid": "Allow SES to encrypt messages belonging to this account",
      "Effect": "Allow",
      "Principal": {
        "Service": "ses.us-east-1.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:EncryptionContext:aws:ses:source-account": "915144628597"
        },
        "Null": {
          "kms:EncryptionContext:aws:ses:rule-name": "false",
          "kms:EncryptionContext:aws:ses:message-id": "false"
        }
      }
    },
    {
      "Sid": "Allow SES to describe this key",
      "Effect": "Allow",
      "Principal": {
        "Service": "ses.us-east-1.amazonaws.com"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "Allow direct access to key metadata amp; decryption to the account",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::915144628597:root"
      },
      "Action": [
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:Decrypt",
        "kms:ReEncryptFrom"
      ],
      "Resource": "*"
    }
  ]
}

Как вы можете видеть, учетная запись root не имеет разрешения ни планировать удаление ключа, ни даже устанавливать новую политику использования ключа. Итак, насколько я могу судить, у меня буквально нет способа удалить эти ключи. Вся документация и предыдущие сообщения, которые я смог найти по этому вопросу, предполагают, что пользователь сам создал ключ, чего я не делал. Итак, я подумал, что хотел бы спросить сообщество о предложениях, прежде чем возиться с отправкой запроса в службу поддержки клиентов. Мы высоко ценим вашу помощь!

Комментарии:

1. Кто-нибудь? Мысли??

2. Как вы создали этот ключ? Вручную или с помощью CloudFormation? Как правило, KMS требует, чтобы вы добавили администратора ключа при создании этого ключа, чтобы снизить риск того, что ключ станет неуправляемым.